CVE-2026-57077 in YAML::Syck情報

要約

〜によって VulDB • 2026年07月17日

Perl用のYAML::Syck 1.47より前のバージョンでは、newline_lenにおける無制限の改行スキャンにより、境界外読み取り(out-of-bounds read)が可能である。

バンドルされているlibsyckにおいて、newline_lenおよびis_newlineは、「\r\n」ペアに対してスキャンポインタとその次のバイトを参照するが、NUL終端文字や境界チェックが行われない。ドキュメント境界におけるブロックスカラーの字句解析中に、スキャン処理はヒープ上のレキサーバッファを超えて1バイト先まで実行される。これはCVE-2025-11683の不十分な修正であり、以前の修正対象外であったレキサーパスにおいて問題が発生する。

信頼できないドキュメントに対してLoadまたはLoadFileを実行し、かつそのドキュメント境界にブロックスカラーが存在する場合、任意の呼び出し元がオーバーリード(過剰読み取り)を引き起こす可能性がある。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

CPANSec

予約する

2026年06月23日

モデレーション

承諾済み

エントリ

VDB-379673

EPSS

0.00186

アクティビティ

低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!