一、 漏洞 CVE-2023-46302 基础信息
漏洞标题
Apache 潜艇:修复CVE-2022-1471 SnakeYaml 不安全的解 deserialize 。
来源:AIGC 神龙大模型
漏洞描述信息
Apache Submarine:修复CVE-2022-1471 SnakeYaml不安全的反序列化问题
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
可信数据的反序列化
来源:AIGC 神龙大模型
漏洞标题
Apache Submarine: Fix CVE-2022-1471 SnakeYaml unsafe deserialization
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Apache Software Foundation Apache Submarine has a bug when serializing against yaml. The bug is caused by snakeyaml https://nvd.nist.gov/vuln/detail/CVE-2022-1471 . Apache Submarine uses JAXRS to define REST endpoints. In order to handle YAML requests (using application/yaml content-type), it defines a YamlEntityProvider entity provider that will process all incoming YAML requests. In order to unmarshal the request, the readFrom method is invoked, passing the entityStream containing the user-supplied data in `submarine-server/server-core/src/main/java/org/apache/submarine/server/utils/YamlUtils.java`. We have now fixed this issue in the new version by replacing to `jackson-dataformat-yaml`. This issue affects Apache Submarine: from 0.7.0 before 0.8.0. Users are recommended to upgrade to version 0.8.0, which fixes this issue. If using the version smaller than 0.8.0 and not want to upgrade, you can try cherry-pick PR https://github.com/apache/submarine/pull/1054 and rebuild the submart-server image to fix this.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
可信数据的反序列化
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Submarine 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Submarine是美国阿帕奇(Apache)基金会的云原生机器学习平台。 Apache Submarine 0.7.0至0.8.0版本存在安全漏洞,该漏洞源于snakeyaml存在反序列化漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-46302 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-46302 的情报信息