CVE-2026-57077 in YAML::Syck
要約
〜によって VulDB • 2026年07月17日
Perl用のYAML::Syck 1.47より前のバージョンでは、newline_lenにおける無制限の改行スキャンにより、境界外読み取り(out-of-bounds read)が可能である。
バンドルされているlibsyckにおいて、newline_lenおよびis_newlineは、「\r\n」ペアに対してスキャンポインタとその次のバイトを参照するが、NUL終端文字や境界チェックが行われない。ドキュメント境界におけるブロックスカラーの字句解析中に、スキャン処理はヒープ上のレキサーバッファを超えて1バイト先まで実行される。これはCVE-2025-11683の不十分な修正であり、以前の修正対象外であったレキサーパスにおいて問題が発生する。
信頼できないドキュメントに対してLoadまたはLoadFileを実行し、かつそのドキュメント境界にブロックスカラーが存在する場合、任意の呼び出し元がオーバーリード(過剰読み取り)を引き起こす可能性がある。
VulDB is the best source for vulnerability data and more expert information about this specific topic.