https://x7peeps.com/tags/CVE-2017-18640/index.htmlHugozh-CNTue, 02 Jun 2026 00:00:00 +0000https://x7peeps.com/%E5%AE%89%E5%85%A8/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95/03-%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/CVE-2017-18640_SnakeYAML%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/index.htmlTue, 02 Jun 2026 00:00:00 +0000https://x7peeps.com/%E5%AE%89%E5%85%A8/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95/03-%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/CVE-2017-18640_SnakeYAML%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/index.html0x00 漏洞背景与详情 CVE ID: CVE-2017-18640 受影响组件: SnakeYAML (Java 生态中最流行的 YAML 解析库) 受影响版本: SnakeYAML < 1.26 漏洞类型: 反序列化 / 不安全的对象实例化 危险等级: 极高危 (Critical, CVSS 9.8) CVE-2017-18640 是 Java 领域极为经典且影响深远的反序列化漏洞。由于大量主流框架（如 Spring Boot）依赖 SnakeYAML 进行配置解析或数据交互，该漏洞的影响面极广。漏洞的核心在于 SnakeYAML 在默认配置下，允许通过特定的 YAML 标签（Tags）在反序列化时实例化任意 Classpath 中的 Java 类，从而导致远程代码执行 (RCE)。