一、 漏洞 CVE-2025-11683 基础信息
漏洞信息
# YAML::Syck 1.36前版本越界读取漏洞
## 概述
YAML::Syck 是 Perl 中用于处理 YAML 格式的模块。在版本 1.36 之前,该模块存在一个因缺少空终止符(null terminator)而导致的漏洞,可能引发越界读取(out-of-bounds read)和信息泄露(information disclosure)。
## 影响版本
- YAML::Syck for Perl 版本早于 1.36
## 细节
- 漏洞源于 `token.c` 文件中未正确添加 null terminator。
- 在解析包含所有键且值为空的 hash 结构的复杂 YAML 文件时,可能触发越界读取。
- 此错误允许读取相邻变量的内存内容。
## 影响
- 可能导致内存中敏感信息泄露。
- 不会触发访问模块未分配的内存,因此问题相对受限,但仍具有一定安全风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
YAML::Syck versions before 1.36 for Perl has missing Null-Terminators which causes Out-of-Bounds Read and potential Information Disclosure
来源:美国国家漏洞数据库 NVD
漏洞描述信息
YAML::Syck versions before 1.36 for Perl has missing null-terminators which causes out-of-bounds read and potential information disclosure
Missing null terminators in token.c leads to but-of-bounds read which allows adjacent variable to be read
The issue is seen with complex YAML files with a hash of all keys and empty values. There is no indication that the issue leads to accessing memory outside that allocated to the module.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
内存缓冲区边界内操作的限制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
YAML::Syck 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
YAML::Syck是CPAN Authors开源的一个Perl库。 YAML::Syck 1.36之前版本存在安全漏洞,该漏洞源于token.c中缺少空终止符,可能导致越界读取和信息泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-11683 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-11683 的情报信息
-
标题: Address memory corruption leading to 'str' value being set on empty keys by timlegge · Pull Request #65 · cpan-authors/YAML-Syck · GitHub -- 🔗来源链接
标签: patch
神龙速读
-
- https://nvd.nist.gov/vuln/detail/CVE-2025-11683
四、漏洞 CVE-2025-11683 的评论
暂无评论