CVE-2026-33532 in yaml情報

要約

〜によって VulDB • 2026年05月11日

`yaml`はJavaScript用のYAMLパーサーおよびシリアライザーです。1.xブランチの1.10.3より前、または2.xブランチの2.8.3より前のバージョンの`yaml`でYAMLドキュメントを解析すると、スタックオーバーフローによりRangeErrorがスローされる可能性があります。ノード解決/構成フェーズでは、深さの制限なしで再帰関数呼び出しが使用されています。解析用にYAMLを入力できる攻撃者は、小さなペイロード(約2〜10 KB)で`RangeError: Maximum call stack size exceeded`を引き起こすことができます。`RangeError`は`YAMLParseError`ではないため、YAML固有のエラーのみをキャッチするアプリケーションでは予期しない例外タイプが発生します。ホストアプリケーションの例外処理方法によっては、リクエストの失敗やNode.jsプロセスの終了を引き起こす可能性があります。フローシーケンスでは、最小限のバイト数(1レベルあたり2バイト:`[`と`]`各1つ)で深いネストが可能です。デフォルトのNode.jsスタックでは、約1,000〜5,000レベルのネスト(2〜10 KBの入力)でコールスタックが枯渇します。正確な閾値は環境依存です(Node.jsのバージョン、スタックサイズ、呼び出し時のコールスタックの深さ)。注意:ライブラリの`Parser`(CSTフェーズ)はスタックベースの反復アプローチを使用しており、影響を受けません。実際のコールスタック再帰を使用するのは、compose/resolveフェーズのみです。公開されている3つのすべての解析API(`YAML.parse()`、`YAML.parseDocument()`、`YAML.parseAllDocuments()`)が影響を受けます。バージョン1.10.3および2.8.3にはパッチが含まれています。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

GitHub M

予約する

2026年03月20日

モデレーション

承諾済み

エントリ

VDB-353740

EPSS

0.00470

アクティビティ

非常低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!