CVE-2022-1471 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SnakeYAML 反序列化时未限制可实例化的类。 💥 **后果**：攻击者可利用恶意 YAML 文件实现 **远程代码执行 (RCE)**。

🔍 **CWE**：CWE-20 (Improper Input Validation)。 🐛 **缺陷**：反序列化机制缺乏白名单或黑名单保护，导致任意对象实例化。

📦 **组件**：SnakeYAML (Java YAML 解析器)。 📅 **披露**：2022年12月1日发布。

👑 **权限**：获得与运行 Java 应用相同的系统权限。 📂 **数据**：可读取/修改任意文件，完全控制服务器。

⚡ **门槛**：低。 🔑 **条件**：需要 **本地权限 (PR:L)** 或应用配置不当，无需用户交互 (UI:N)。

🧪 **PoC**：有现成代码。 🔗 **来源**：GitHub 上有多个 PoC 仓库 (如 1fabunicorn, falconkei) 可直接复现攻击。

🔎 **自查**：检查 `pom.xml` 或依赖树。 📉 **特征**：确认是否使用 **1.33 及以下版本** 的 SnakeYAML。

🛡️ **修复**：官方已发布修复版本。 ✅ **方案**：升级至 **SnakeYAML 2.0** 或更高版本，PoC 显示 2.0 可防御攻击。

⏳ **临时规避**：若无法升级，需严格过滤输入。 🚫 **限制**：配置 `SafeConstructor` 或自定义 `LoaderOptions` 限制反序列化类型。

🔥 **优先级**：高。 ⚠️ **建议**：CVSS 评分高 (H/C, H/I, L/A)，存在公开 PoC，建议 **立即升级** 至 2.0+。