Yamale 파이썬 패키지에 영향을 미치는 코드 실행 취약점 발견
Code Execution Bug Affects Yamale Python Package — Used by Over 200 Projects 23andMe의 YAML의 스키마 및 유효성 검사기인 Yamale에서 심각도 높은 코드 주입 취약점이 발견되었습니다. 공격자는 임의 파이썬 코드를 실행하는데 이 취약점을 쉽게 악용할 수 있습니다. CVE-2021-38305(CVSS 점수: 7.8)로 등록된 이 취약점은 보호를 우회하여 코드를 실행하기 위해 툴에 입력으로 제공된 스키마 파일을 조작하는 작업을 포함합니다. 특히, 이 이슈는 전달된 모든 입력을 평가 및 실행할 수 있는 스키마 구문 분석 기능에 존재하여 결과적으로 스키마 내에서 특수 제작된 문자열이 시스템 명령어 주입에 악용되는 결과를 낳을 수 있습니다. Y..
국내외 보안동향
2021. 10. 8. 14:00