PT-2021-4681 · Perl+2 · Perl+2
Dom Hargreaves
+1
·
Publicado
2021-08-09
·
Atualizado
2024-08-28
·
CVE-2021-36770
CVSS v2.0
9.3
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Encode.pm de 3.05 a 3.11
Versões do Perl até 5.34.0
Descrição
O problema está relacionado ao tratamento incorreto de caminhos no módulo Encode.pm da linguagem de programação Perl. Isso permite que um invasor injete código arbitrário e obtenha privilégios. A exploração requer uma configuração incomum. O problema ocorre porque o operador || avalia @INC em um contexto escalar, resultando em @INC ter apenas um valor inteiro.
Recomendações
Para as versões 3.05 a 3.11 do Encode.pm, considere desativar a biblioteca Encode::ConfigLocal como uma solução temporária até que um patch esteja disponível.
Para as versões do Perl até 5.34.0, atualize para uma versão que inclua a correção para este problema.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Untrusted Search Path
Uncontrolled Search Path Element
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Encode.Pm
Perl
Ubuntu