PT-2026-22248 · Net::Cidr+2 · Net::Cidr+2
Publicado
2021-01-01
·
Atualizado
2026-05-12
·
CVE-2021-4456
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Net::CIDR anteriores à 0.24
Descrição
O software lida incorretamente com zeros à esquerda em endereços IP CIDR, potencialmente levando a um impacto não especificado. As funções
addr2cidr e cidrlookup podem retornar zeros à esquerda dentro de uma string CIDR, o que poderia ser interpretado como números octais. Isso pode permitir que um atacante contorne controles de acesso baseados em endereço IP. A documentação sugere usar a função cidrvalidate para validar strings CIDR não confiáveis, mas essa mitigação é opcional e não é aplicada por padrão. Os usuários podem chamar addr2cidr ou cidrlookup com entrada não confiável sem validação, assumindo incorretamente que é seguro.Recomendações
Versões anteriores à 0.24 devem ser atualizadas para a versão 0.24 ou posterior.
Correção
Incorrect Type Conversion or Cast
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Linuxmint
Net::Cidr
Ubuntu