PT-2025-23428 · Unknown+10 · Yaml::Libyaml+10

Shlomif

·

Publicado

2025-06-01

·

Atualizado

2026-03-06

·

CVE-2025-40908

CVSS v2.0

9.4

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:N
Nome do Software Vulnerável e Versões Afetadas
Versões do YAML-LibYAML anteriores a 0.903.0
Descrição
O YAML-LibYAML utiliza uma função open de dois argumentos ao analisar arquivos YAML, o que permite que um atacante modifique arquivos existentes no sistema. Esta falha permite que um atacante local forneça um arquivo YAML manipulado como entrada, resultando em modificação não autorizada de arquivos.
Recomendações
Atualize o YAML-LibYAML para a versão 0.903.0 ou posterior. Execute sudo pro fix USN-7632-1 para aplicar a correção. Atualize para a versão do pacote libyaml-libyaml-perl - 0.89+ds-1ubuntu0.24.04.1.

Exploit

Correção

RCE

Files Accessible to External Parties

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-552

Identificadores relacionados

ALSA-2025:9329
ALSA-2025:9330
AZL-62242
AZL-62279
BDU:2025-08363
CESA-2025_9329
CVE-2025-40908
INFSA-2025_9329
INFSA-2025_9330
MGASA-2025-0275
OESA-2025-1591
OPENSUSE-SU-2025:15261-1
RHSA-2025:9329
RHSA-2025:9330
RHSA-2025:9338
RHSA-2025_9329
RHSA-2025_9330
SUSE-RU-2025:03081-1
SUSE-SU-2025:01885-1
SUSE-SU-2025:01885-2
SUSE-SU-2025:01886-1
SUSE-SU-2025_01885-1
SUSE-SU-2025_01885-2
SUSE-SU-2025_01886-1
USN-7632-1

Produtos afetados

Almalinux
Astra Linux
Centos
Debian
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Yaml::Libyaml