5.4より前のバージョンのPyYAMLライブラリで脆弱性が発見されました。これにより、full_loadメソッドを介して、またはFullLoaderローダーで信頼できないYAMLファイルを処理するとき、任意のコード実行の影響を受けやすくなります。ライブラリを使用して信頼できない入力を処理するアプリケーションは、この欠陥に脆弱である可能性があります。この欠陥により、攻撃者はpython/object/newコンストラクターを悪用することで、システムで任意のコードを実行できます。この欠陥は、CVE-2020-1747に対する修正が不完全だったために生じています。

検出

FreeBSD：PyYAML -- 任意のコードの実行（c7ec6375-c3cf-11eb-904f-14dae9d5a9d2）

critical Nessus プラグイン ID 150230

バージョン 1.4