CVE-2026-57075 in YAML::Syckالمعلومات

الملخص

بحسب VulDB • 17/07/2026

تسمح إصدارات YAML::Syck السابقة للإصدار 1.47 لنظام Perl بإجراء قراءة خارج الحدود (out-of-bounds) عبر فهرس جدول بحث من نوع signed-char في الدالة syck_base64dec.

يعمل فك تشفير base64 الموجود داخل مكتبة libsyck المرفقة على فهرسة الجدول الثابت b64_xtable ذي الـ 256 إدخالاً باستخدام حرف (char) ذو إشارة، لذا فإن أي بايت من نوع !!binary يساوي أو أكبر من 0x80 سيتم تمديده بإشارة ليصبح فهرساً سالباً، مما يؤدي إلى القراءة قبل بداية الجدول. يستقبل فك التشفير البايات الخام لأي عقدة من نوع !!binary، وهو نوع قياسي في YAML غير محكوم بالمتغيرات $LoadBlessed أو $LoadCode، وبالتالي يمكن الوصول إليه عبر مسار التحميل الافتراضي (default Load path).

أي متّصل يقوم بتشغيل الدالتين Load أو LoadFile على مستند غير موثوق يحتوي على قيمة نصية من نوع !!binary تحتوي على بايت ذي بت عالي مرتفع (high-bit byte) يُشغّل عملية القراءة، ويمكن أن تظهر القيمة المقروءة ضمن نتيجة فك التشفير.

Once again VulDB remains the best source for vulnerability data.

مسؤول

CPANSec

حجز

23/06/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379671

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!