关键漏洞信息 漏洞概述 CVE编号: CVE-2022-31691 漏洞名称: Remote Code Execution via YAML editors in STS4 extensions for Eclipse and VSCode 严重性: MEDIUM 发布日期: 2022-11-03 描述 Spring Tools 4 for Eclipse 4.16.0及以下版本以及VSCode扩展(如Spring Boot Tools、Concourse CI Pipeline Editor、Bosh Editor和Cloud Foundry Manifest YAML Support 1.39.0及以下版本)都使用Snakeyaml库进行YAML编辑支持。在某些情况下,该库允许YAML中的特殊语法可能导致远程代码执行。 受影响的产品和版本 Spring Tools 4 for Eclipse: Spring Tool Suite: 4.0.0 - 4.16.0 VSCode Extension: Spring Boot Tools: 1.0.0 - 1.39.0 VSCode Extension: Concourse CI Pipeline Editor: 1.0.0 - 1.39.0 VSCode Extension: Bosh Editor: 1.0.0 - 1.39.0 VSCode Extension: Cloud Foundry Manifest YAML Support: 1.0.0 - 1.39.0 缓解措施 Eclipse: 升级STS4至4.16.1或更高版本 VSCode: 升级上述扩展至1.40.0或更高版本 致谢 该问题由来自NSFOCUS TIANJI Lab的Zewei Zhang识别并负责任地报告。 参考 https://servicedesk.eng.vmware.com/browse/VSRC-13947 历史 2022-11-03: 初始漏洞报告发布。