Dasel — это инструмент и библиотека командной строки для запроса, изменения и преобразования структур данных. Начиная с версии 3.0.0 и до версии 3.3.1, средство чтения YAML от Dasel позволяет злоумышленнику, который может предоставить YAML для обработки, вызвать чрезмерное потребление процессора и памяти. Проблема заключается в собственной реализации `UnmarshalYAML` библиотеки, которая вручную разрешает узлы псевдонимов, рекурсивно следуя указателям `yaml.Node.Alias` без какого-либо бюджета расширения, минуя встроенное ограничение расширения псевдонимов go-yaml v4.
Версия 3.3.2 содержит исправление этой проблемы.
Показать оригинальное описание (EN)
Dasel is a command-line tool and library for querying, modifying, and transforming data structures. Starting in version 3.0.0 and prior to version 3.3.1, Dasel's YAML reader allows an attacker who can supply YAML for processing to trigger extreme CPU and memory consumption. The issue is in the library's own `UnmarshalYAML` implementation, which manually resolves alias nodes by recursively following `yaml.Node.Alias` pointers without any expansion budget, bypassing go-yaml v4's built-in alias expansion limit. Version 3.3.2 contains a patch for the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Tomwright Dasel
cpe:2.3:a:tomwright:dasel:*:*:*:*:*:go:*:*
|
3.0.0
|
3.3.2
|