Vulnerabilidad en YAML::Syck de TODDR (CVE-2026-4177)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-122 Desbordamiento de búfer basado en memoria dinámica (Heap)

Fecha de publicación:

16/03/2026

Última modificación:

23/03/2026

Descripción

Las versiones de YAML::Syck hasta la 1.36 para Perl tienen varias vulnerabilidades de seguridad potenciales, incluyendo un desbordamiento de búfer de montículo de alta gravedad en el emisor YAML. El desbordamiento de montículo ocurre cuando los nombres de clase exceden la asignación inicial de 512 bytes. El decodificador base64 podría leer más allá del final del búfer en saltos de línea finales. strtok mutó n-&gt;type_id in situ, corrompiendo datos de nodo compartidos. Se produjo una fuga de memoria en syck_hdlr_add_anchor cuando un nodo ya tenía un ancla. La cadena de ancla entrante &#39;a&#39; se filtró en el retorno anticipado.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto