CVE-2026-5089 in YAML::Syckinformation

Résumé

par VulDB • 16/05/2026

Les versions de YAML::Syck antérieures à la 1.38 pour Perl présentent une lecture hors limites (out-of-bounds read).

Le code d'analyse (parsing) base60 (sexagésimal) dans perl_syck.h contient un bug de sous-débordement de tampon (buffer underflow) dans les gestionnaires int#base60 et float#base60. Lors du traitement du segment le plus à gauche d'une valeur séparée par des deux-points (par exemple, le 1 dans 1:30:45), la boucle while interne peut décrémenter un pointeur au-delà du début du tampon de chaîne :

while ( colon >= ptr && *colon != ':' ) {
colon--; } if ( *colon == ':' ) *colon = '\0'; // colon peut être ptr-1 ici

Lorsqu'aucun deux-points n'est trouvé (segment final/le plus à gauche), colon devient ptr-1, et la déréférence suivante de *colon lit un octet avant le début du tampon alloué.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

CPANSec

Réserver

28/03/2026

Divulgation

12/05/2026

Modérer

accepté

Entrée

VDB-363095

CPE

prêt

EPSS

0.00046

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-5089
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-5089
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-5089/

PrécédentAperçuSuivant

Do you need the next level of professionalism?

Upgrade your account now!