Vulnerabilidad en kaml (CVE-2021-39194)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

07/09/2021

Última modificación:

14/09/2021

Descripción

kaml es una implementación de código abierto del formato YAML con soporte para kotlinx.serialization. En las versiones afectadas, unos atacantes que pudieran proporcionar una entrada YAML arbitraria a una aplicación que usa kaml podría causar que la aplicación realice un bucle interminable mientras analiza la entrada. Esto podría resultar en una inanición de recursos y una denegación de servicio. Esto sólo afecta a las aplicaciones que usan una serialización polimórfica con el estilo de polimorfismo etiquetado predeterminado. Las aplicaciones que usan el estilo de polimorfismo de propiedades no están afectadas. La entrada de YAML para un tipo polimórfico que proporciona una etiqueta pero no un valor para el objeto desencadenaría el problema. La versión 0.35.3 o posterior contiene la corrección de este problema

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:S/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.00 MEDIA
Vector: AV:N/AC:L/Au:S/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico