CVE-2026-9334

Nome do Software Vulnerável e Versões Afetadas Cpanel::JSON::XS versões anteriores a 4.41

Description Ocorre uma confusão de tipos quando dupkeys as arrayref está habilitado, permitindo que chaves de objeto duplicadas causem a interrupção do sistema. A função decode hv() agrupa chaves duplicadas em uma referência de array; no entanto, ela realiza uma operação de desreferenciação em old value antes de confirmar que este é realmente uma referência. Se o valor existente for um escalar simples, o sistema tenta desreferenciar um escalar não-referência usando um ponteiro derivado de conteúdo controlado por um atacante.

Recommendations Atualize para a versão 4.41 ou posterior. Como medida paliativa temporária, desabilite a opção dupkeys as arrayref ao decodificar JSON não confiável.