CVE-2026-33532 in yamlinformação

Sumário

de VulDB • 11/05/2026

`yaml` é um analisador e serializador YAML para JavaScript. A análise de um documento YAML com uma versão da biblioteca `yaml` na ramificação 1.x anterior à 1.10.3 ou na ramificação 2.x anterior à 2.8.3 pode lançar um `RangeError` devido a um estouro de pilha (stack overflow). A fase de resolução/composição do nó utiliza chamadas de função recursivas sem um limite de profundidade. Um atacante que possa fornecer YAML para análise pode acionar um `RangeError: Maximum call stack size exceeded` com uma carga útil pequena (~2–10 KB). O `RangeError` não é um `YAMLParseError`, portanto, aplicativos que capturam apenas erros específicos do YAML encontrarão um tipo de exceção inesperado. Dependendo do tratamento de exceções do aplicativo hospedeiro, isso pode falhar nas solicitações ou encerrar o processo do Node.js. Sequências de fluxo permitem um aninhamento profundo com poucos bytes (2 bytes por nível: um `[` e um `]`). Na pilha padrão do Node.js, aproximadamente 1.000–5.000 níveis de aninhamento (2–10 KB de entrada) esgotam a pilha de chamadas. O limite exato depende do ambiente (versão do Node.js, tamanho da pilha, profundidade da pilha de chamadas na invocação). Nota: o `Parser` da biblioteca (fase CST) utiliza uma abordagem iterativa baseada em pilha e não é afetado. Apenas a fase de composição/resolução utiliza recursão real da pilha de chamadas. Todas as três APIs públicas de análise são afetadas: `YAML.parse()`, `YAML.parseDocument()` e `YAML.parseAllDocuments()`. As versões 1.10.3 e 2.8.3 contêm um patch.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub M

Reservar

20/03/2026

Divulgação

26/03/2026

Moderação

aceite

Entrada

VDB-353740

CPE

pronto

EPSS

0.00470

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!