CVE-2026-48959

Nome do Software Vulnerável e Versões Afetadas IO::Uncompress::Unzip versões anteriores a 2.220

Description Um problema na função fastForward() permite a exaustão da CPU. A função compara o comprimento da variável $offset (a contagem de dígitos do deslocamento, de 1 a 19) com o tamanho do bloco $c em vez de comparar o próprio valor de $offset. Isso faz com que o tamanho do bloco $c diminua de 16 KiB para entre 1 e 19 bytes por iteração. Um invasor pode desencadear um loop de leitura por byte que escala com o tamanho compactado de uma entrada, até o limite de 4 GiB do non-Zip64, ao extrair uma entrada nomeada de um arquivo zip malicioso usando IO::Uncompress::Unzip->new($zip, Name => $target).

Recommendations Atualize para a versão 2.220 ou posterior.