Paul Johnson

**Nome do Software Vulnerável e Versões Afetadas** GD for Perl versões anteriores a 2.86 **Descrição** A função ` make filehandle()` em `GD::Image` utiliza o `open()` de 2 argumentos do Perl para processar argumentos de nome de arquivo. Isso permite a injeção de comandos do sistema operacional e a sobrescrita de arquivos se um nome de arquivo começar ou terminar com um pipe (ex: "| cmd", "cmd |") ou começar com um redirecionamento (ex: "> path", ">> path"). Este problema afeta todos os construtores que aceitam nomes de arquivos, incluindo `new()`, `newFromPng()` e `newFromJpeg()`. Chamadores que encaminham entradas não confiáveis como um caminho de arquivo podem executar comandos arbitrários ou truncar arquivos sob o UID do processo. Variantes *Data em memória não são afetadas. **Recomendações** Atualize para a versão 2.86 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** HTML::Entities versões anteriores a 3.84 **Descrição** A rotina XS que suporta ` decode entities()` armazena em cache um ponteiro (`repl`) para o SV de valor de entidade retornado por `hv fetch` no hash `entity2char`. Se o SV de entrada for idêntico a um SV de valor nesse hash e esse valor contiver sua própria chave como uma referência de entidade, uma chamada subsequente a `grow gap()` realoca o buffer PV do SV. Essa ação libera a alocação de suporte para a qual `repl` ainda aponta, fazendo com que o loop de cópia seguinte leia `repl len` bytes da memória liberada. Isso pode levar à divulgação de conteúdos adjacentes do heap no SV de destino. **Recomendações** Atualize para a versão 3.84 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Cpanel::JSON::XS versões anteriores a 4.41 **Description** Ocorre uma confusão de tipos quando `dupkeys as arrayref` está habilitado, permitindo que chaves de objeto duplicadas causem a interrupção do sistema. A função `decode hv()` agrupa chaves duplicadas em uma referência de array; no entanto, ela realiza uma operação de desreferenciação em `old value` antes de confirmar que este é realmente uma referência. Se o valor existente for um escalar simples, o sistema tenta desreferenciar um escalar não-referência usando um ponteiro derivado de conteúdo controlado por um atacante. **Recommendations** Atualize para a versão 4.41 ou posterior. Como medida paliativa temporária, desabilite a opção `dupkeys as arrayref` ao decodificar JSON não confiável.

**Nome do Software Vulnerável e Versões Afetadas** Cpanel::JSON::XS versões anteriores a 4.41 **Descrição** Existe um problema onde o fornecimento de entrada prefixada com um Byte Order Mark (BOM) UTF-8 pode levar a uma negação de serviço. Quando a função `decode json()` processa um BOM UTF-8 de 3 bytes, ela avança o ponteiro de string do escalar de entrada usando `SvPV set()`. Se o processo de decodificação for abortado por meio de uma exceção Perl — como quando um callback `filter json object` gera um erro — o ponteiro não é restaurado. Isso deixa o escalar com um comprimento reduzido e um ponteiro de string deslocado em seu próprio buffer. Consequentemente, quando o escalar é liberado, o alocador recebe um ponteiro inválido, fazendo com que o interpretador aborte e cause a falha do chamador. **Recomendações** Atualize para a versão 4.41 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Sereal::Decoder versões anteriores a 5.005 **Description** Existe um problema onde entradas manipuladas podem levar a uma leitura fora dos limites do heap (heap out-of-bounds read). No arquivo Perl/Decoder/srl decoder.c, as funções `srl read object()` e `srl read hash()` processam uma tag COPY, que é uma referência retroativa que o decodificador re-decodifica como uma nova tag. Se o byte de destino corresponder ao padrão SHORT BINARY (uma string inline cujo comprimento é codificado nos bits baixos da tag), a leitura resultante pode não ser limitada para preceder o deslocamento da tag COPY e pode ultrapassar o buffer de entrada. Um invasor pode controlar o deslocamento COPY para situá-lo dentro de um valor previamente decodificado, inserindo um byte que o decodificador interpreta como uma tag SHORT BINARY, permitindo o consumo de até 31 bytes subsequentes do heap como uma chave de hash ou nome de classe. **Recommendations** Atualize para a versão 5.005 ou posterior.