CVE-2026-8612

Nome do Software Vulnerável e Versões Afetadas WWW::Mechanize::Cached versões anteriores a 2.00

Descrição Quando nenhum backend de cache explícito é utilizado, o software cria um Cache::FileCache padrão em /tmp/FileCache com um directory umask de 000, resultando em uma raiz de cache e subdiretórios com modo 0777 e sem o sticky bit. Isso permite que um invasor local com acesso de gravação à árvore de cache substitua a entrada de cache de uma vítima para uma URL conhecida por um blob HTTP::Response congelado arbitrário. Quando a vítima realiza uma requisição get() para essa URL, o sistema lê a entrada usando Storable::thaw. Se o processo da vítima tiver carregado qualquer classe com um hook STORABLE thaw, DESTROY ou de sobrecarga com efeito colateral, isso pode levar à falsificação de resposta local e execução de código arbitrário.

Recomendações Atualize para a versão 2.00 ou posterior.