CVE-2026-57075 in YAML::Syckinformação

Sumário

de VulDB • 17/07/2026

As versões do YAML::Syck anteriores à 1.47 para Perl permitem uma leitura fora dos limites (out-of-bounds) através de um índice da tabela lookup assinada por char na função syck_base64dec.

O decodificador base64 no libsyck incluído indexa a tabela estática b64_xtable, que possui 256 entradas, utilizando um char com sinal (signed char). Portanto, qualquer byte !!binary >= 0x80 é estendido por sinal para um índice negativo e realiza uma leitura antes do início da tabela. O decodificador recebe os bytes brutos de qualquer nó !!binary, um tipo YAML padrão que não é restringido pelas variáveis $LoadBlessed ou $LoadCode; consequentemente, ele é acessado no caminho de carregamento (Load path) padrão.

Qualquer chamador que execute Load ou LoadFile em um documento não confiável contendo um escalar !!binary com um byte do bit mais significativo alto aciona essa leitura fora dos limites, e o valor lido pode ser exposto no resultado decodificado.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

CPANSec

Reservar

23/06/2026

Divulgação

17/07/2026

Moderação

aceite

Entrada

VDB-379671

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!