PyYAML 5.3.1 曝出严重漏洞 CVE-2020-14343，CVSS 评分高达 9.8

一个潜伏在广泛使用的 Python YAML 解析库中的严重漏洞已被重新发现，其 CVSS 评分高达 9.8，属于最高级别的安全风险。该漏洞存在于 PyYAML 5.3.1 版本中，允许攻击者通过构造特定的 YAML 内容，在目标系统上执行任意代码。这意味着任何依赖此旧版本库的应用程序，在处理不受信任的 YAML 输入时，都可能面临被完全控制的风险。

漏洞编号为 CVE-2020-14343，其根源在于 PyYAML 库的 `yaml.load()` API 在默认情况下使用了不安全的 `FullLoader`。当加载恶意 YAML 数据时，攻击者可以触发 Python 的 `os.system` 调用，从而在主机上运行任意命令。尽管该漏洞在 2020 年已被披露，且修复版本（PyYAML 5.4）早已发布，但扫描结果显示，仍有大量项目依赖文件（如 `/requirements.txt`）中锁定了存在漏洞的 5.3.1 版本，导致风险持续存在。

对于依赖 PyYAML 进行配置文件解析、数据序列化或 CI/CD 流程的 Python 开发团队而言，这是一个紧迫的警报。鉴于其高严重性和相对较高的 EPSS 评分（14.0%），该漏洞被利用的可能性不容忽视。所有仍在使用 PyYAML 5.3.1 或更早版本的项目，应立即升级至 5.4 或更高版本，并审查所有 YAML 数据输入源，优先使用更安全的 `yaml.safe_load()` 方法。