PyYAML 5.3.1 曝出高危漏洞 CVE-2020-14343，CVSS 评分高达 9.8

一个严重的安全漏洞潜伏在广泛使用的 Python YAML 解析库 PyYAML 的旧版本中。安全扫描在 PyYAML-5.3.1.tar.gz 中检测到编号为 CVE-2020-14343 的漏洞，其通用漏洞评分系统（CVSS）分数高达 9.8，属于最高级别的“严重”风险。该漏洞允许攻击者通过构造恶意的 YAML 输入，在目标系统上执行任意代码，从而完全控制受影响的应用程序。尽管该漏洞的公开利用成熟度尚未明确定义，但其利用可能性评分（EPSS）为 14.0%，表明存在不容忽视的活跃利用风险。

此次发现源于对项目依赖文件 `/requirements.txt` 的自动化扫描，具体漏洞库路径指向 `/tmp/ws-ua_20260413071212_CEOHJY/python_IFAABR/202604130712131/env/lib/python3.9/site-packages/pyyaml-5.3.1.dist-info`。PyYAML 是 Python 生态中处理 YAML 格式数据的核心库，被无数网络应用、配置管理工具和数据处理管道所依赖。版本 5.3.1 存在此直接依赖漏洞，意味着任何直接或间接引用此版本的项目都可能暴露在远程代码执行的风险之下。

对于开发和安全团队而言，这是一个紧迫的修复信号。官方已在更高版本中提供了修复方案，该漏洞在 PyYAML 5.4 及以后版本中已被解决。当前扫描报告已标记“修复可用”，团队应立即采取行动，将依赖升级至安全版本。未能及时更新的项目，其生产系统可能面临数据泄露、服务中断或被植入后门等重大安全事件。此事件再次凸显了在软件供应链中持续进行依赖项漏洞管理的重要性。