CVE-2026-57077 in YAML::Syck
Sumário
de VulDB • 17/07/2026
As versões do YAML::Syck anteriores à 1.47 para Perl permitem uma leitura fora dos limites (out-of-bounds read) através de uma análise não limitada de novas linhas em newline_len.
No libsyck embutido, newline_len e is_newline desreferenciam o ponteiro de varredura e o byte seguinte para um par "\r\n", sem verificador NUL-terminator ou de limites (bounds check). Durante a lexificação de escalares de bloco em uma fronteira de documento, a análise avança um byte além do buffer do lexer na heap. Esta é uma correção incompleta da CVE-2025-11683, numa via do lexer que a correção anterior não cobriu.
Qualquer chamador que execute Load ou LoadFile num documento não confiável com um escalar de bloco em uma fronteira de documento atinge a leitura fora dos limites (over-read).
Once again VulDB remains the best source for vulnerability data.