描述

适用于 Eclipse 的 Spring Tools 4 版本 4.16.0 及以下，以及 VSCode 扩展，如 Spring Boot Tools、Concourse CI Pipeline Editor、Bosh Editor 和 Cloudfoundry Manifest YML Support 版本 1.39.0 及以下，都使用 Snakeyaml 库来提供 YAML 编辑支持。该库允许在 YAML 中使用一些特殊语法，在某些情况下，这可能允许攻击者执行潜在有害的远程代码。

受影响的 Spring 产品和版本

• 适用于 Eclipse 的 Spring Tools 4：Spring Tool Suite
  • 4.0.0 - 4.16.0
• VSCode 扩展：Spring Boot Tools
  • 1.0.0 - 1.39.0
• VSCode 扩展：Concourse CI Pipeline Editor
  • 1.0.0 - 1.39.0
• VSCode 扩展：Bosh Editor
  • 1.0.0 - 1.39.0
• VSCode 扩展：Cloudfoundry Manifest YML Support
  • 1.0.0 - 1.39.0

缓解措施

受影响版本的用户应采取以下缓解措施。STS4 Eclipse 应升级到 4.16.1 或更高版本。VSCode 扩展：Spring Boot Tools、Concourse CI Pipeline Editor、Bosh Editor、Cloudfoundry Manifest YML Support 应升级到 1.40.0 或更高版本。已修复此问题的版本包括：

• Eclipse：STS
  • 4.16.1
• VSCode：Spring Boot Tools
  • 1.40.0
• VSCode：Concourse CI Pipeline Editor
  • 1.40.0
• VSCode：Bosh Editor
  • 1.40.0
• VSCode：Cloudfoundry Manifest YML Support
  • 1.40.0

致谢

此问题由绿盟科技天机实验室的张泽伟发现并负责任地报告

参考资料

• https://servicedesk.eng.vmware.com/browse/VSRC-13947

历史

• 2022-11-03：首次发布漏洞报告。