在23andMe的Yamale (YAML的架构和验证器)中披露了一个高度危险的代码注入漏洞，攻击者可以随意利用该漏洞执行任意Python代码。 该漏洞被记录为CVE-2021-38305 (CVSS得分:7.8)，涉及操作作为工具输入提供的架构文件，以绕过保护并实现代码执行。值得关注的是，问题存在于模式解析函数中，该函数允许对传入的任何输入进行求值和执行，从而导致一种情况，即架构中特殊制作的字符串可用来注入系统命令。 Yamale是一个Python包，它允许开发人员验证YAML(一种经常用于编写配置文件的数据序列化语言)。GitHub上至少有224个存储库使用这个包。...