Stigtsp

#12340de 53,630
22.1CVSS total
Vulnerabilidades · 3
Média
2
Crítica
1
PT-2026-43494
9.1
2026-05-27
Cpan · Http::Daemon · CVE-2026-8450
**Nome do Software Vulnerável e Versões Afetadas** HTTP::Daemon versões anteriores a 6.17 **Descrição** A injeção de comandos do sistema operacional é possível através da função `send file()`. Isso ocorre porque a `send file()` utiliza a função open() de 2 argumentos do Perl, que interpreta prefixos mágicos. Especificamente, prefixos como '| cmd' e 'cmd |' abrem um pipe para um subprocesso, enquanto '> path' e '>> path' abrem um caminho para escrita ou anexação. Se entradas não confiáveis forem passadas para `send file()`, comandos do SO podem ser executados com o UID do processo do daemon. Além disso, a forma de leitura de pipe ('cmd |') pode vazar o stdout do subprocesso no corpo da resposta HTTP, e as formas de modo de escrita podem criar ou truncar arquivos em caminhos escolhidos por um invasor. **Recomendações** Atualize para a versão 6.17 ou posterior. Como medida paliativa temporária, restrinja ou evite passar entradas não confiáveis para a função `send file()`.
PT-2026-39538
6.5
2026-05-10
Cpan · Net-Cidr-Lite · CVE-2026-45190
**Nome do Software Vulnerável e Versões Afetadas** Net::CIDR::Lite versões anteriores a 0.24 **Descrição** O Net::CIDR::Lite para Perl não valida adequadamente as entradas de endereço IP e máscara CIDR. Entradas que contêm caracteres digitais não-ASCII ou uma nova linha final passam na validação, mas são re-codificadas pelo analisador em um endereço diferente da string de entrada original. Isso pode fazer com que as funções `find()` e `bin find()` correspondam ou ignorem endereços incorretamente, permitindo potencialmente a evasão de Listas de Controle de Acesso (ACL) de IP. **Recomendações** Atualize para a versão 0.24 ou posterior.
PT-2026-39539
6.5
2026-05-10
Cpan · Net-Cidr-Lite · CVE-2026-45191
**Nome do Software Vulnerável e Versões Afetadas** Net::CIDR::Lite versões anteriores a 0.24 **Description** A validação inadequada de valores de máscara CIDR permite que caracteres zero extras sejam processados. Formas de máscara como "/00" e "/01" passam na validação e são analisadas como o mesmo prefixo que seus valores não preenchidos, o que pode levar a um bypass de Lista de Controle de Acesso (ACL) de IP. **Recommendations** Atualize para a versão 0.24 ou posterior.