SnakeYaml - CVE-2022-1471

Exécution de code arbitraire

La vulnérabilité exploitée est du type
CWE-94 : Improper Control of Generation of Code (“Code Injection”)

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau
•    Complexité de l'attaque : Faible
•    Privilèges nécessaires pour réaliser l'attaque : Aucun
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Des preuves de concepts sont disponibles en sources ouvertes.

Mettre à jour SnakeYaml vers la version 2.0 ou ultérieure.
Mettre à jour Db2 Graph vers la version 1774-amd64, 1775-amd64, latest-amd64, 1774-ppcle, 1775-ppcle, latest-ppcle, 1774-s390x, 1775-s390x, latest-s390x ou ultérieure.
Mettre à jour IBM Db2 on Cloud Pak for Data et Db2 Warehouse on Cloud Pak for Data vers la version v4.7 ou ultérieure.
Pour IBM Db2 Web Query for i  version 2.3.0 et IBM i version 7.3, appliquer le correctif SF99533 – 09.
Pour IBM Db2 Web Query for i  version 2.3.0 et IBM i version 7.4, appliquer le correctif SF99654 – 09.
Pour IBM Db2 Web Query for i  version 2.3.0 et IBM i version 7.5, appliquer le correctif SF99671 – 09.
Pour IBM Db2 Web Query for i  version 2.4.0, appliquer le correctif SI83837 ou SI83838.
Des informations complémentaires sont disponibles dans le bulletin d’IBM.