VULHUB ™

YamlDotNet是一个YAML（标记语言）的.NET库，它主要提供YAML的低级解析和发送，并包括一个序列化库。 YamlDotNet 4.3.2及之前版本中的‘Deserializer()’函数的默认行为存在安全漏洞，该漏洞源于程序没有安全的实例化‘currentType = Type.GetType(nodeEvent.Tag.Substring(1), throwOnError： false);’行中由用户控制的类型。攻击者可借助特制的YAML文件利用该漏洞执行代码。

YamlDotNet是一个YAML（标记语言）的.NET库，它主要提供YAML的低级解析和发送，并包括一个序列化库。 YamlDotNet 4.3.2及之前版本中的‘Deserializer()’函数的默认行为存在安全漏洞，该漏洞源于程序没有安全的实例化‘currentType = Type.GetType(nodeEvent.Tag.Substring(1), throwOnError： false);’行中由用户控制的类型。攻击者可借助特制的YAML文件利用该漏洞执行代码。