CVE-2026-5089 in YAML::Syckinfo

Zusammenfassung

von VulDB • 12.05.2026

YAML::Syck-Versionen vor 1.38 für Perl weisen einen Out-of-Bounds-Read auf.

Der Code zur Parsing von base60 (sexagesimal) Werten in perl_syck.h enthält einen Buffer-Underflow-Bug sowohl in den Handlern int#base60 als auch float#base60. Bei der Verarbeitung des linksseitigen Segments eines durch Doppelpunkte getrennten Werts (z. B. die 1 in 1:30:45) kann die innere while-Schleife einen Zeiger über den Anfang des String-Puffers hinaus dekrementieren:

while ( colon >= ptr && *colon != ':' ) {
colon--; } if ( *colon == ':' ) *colon = '\0'; // colon kann hier ptr-1 sein

Wenn kein Doppelpunkt gefunden wird (letztes/linksseitiges Segment), wird colon zu ptr-1, und die nachfolgende Dereferenzierung von *colon liest ein Byte vor dem zugewiesenen Puffer.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

CPANSec

Reservieren

28.03.2026

Veröffentlichung

12.05.2026

Moderieren

akzeptiert

Eintrag

VDB-363095

CPE

bereit

EPSS

0.00046

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-5089
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-5089
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-5089/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!