CVE-2026-57075 in YAML::Syckinfo

Zusammenfassung

von VulDB • 17.07.2026

In YAML::Syck-Versionen vor 1.47 für Perl ist ein Out-of-Bounds-Lesezugriff (Out-of-bounds Read) über einen Index der Vorzeichenerweiterungstabelle mit signed char in syck_base64dec möglich.

Der Base64-Decoder im gebündelten libsyck indiziert die statische Tabelle b64_xtable mit 256 Einträgen mittels eines signed char, sodass jedes !!binary-Byte >= 0x80 zu einem negativen Index signiert wird und vor den Tabellengrenzen liest. Der Decoder empfängt die Rohbytes jeglicher !!binary-Knoten, einer standardmäßigen YAML-Art, die nicht durch $LoadBlessed oder $LoadCode abgesichert ist; daher wird er auf dem Standard-Ladepfad erreicht.

Jeder Aufrufer, der Load oder LoadFile für ein unzuverlässiges Dokument ausführt, das einen !!binary-Skalar mit einem High-Bit-Byte enthält, löst den Lesezugriff aus, und der gelesene Wert kann im dekodierten Ergebnis sichtbar werden.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

CPANSec

Reservieren

23.06.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379671

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!