CVE-2026-9516

Nome do Software Vulnerável e Versões Afetadas Cpanel::JSON::XS versões anteriores a 4.41

Descrição Existe um problema onde o fornecimento de entrada prefixada com um Byte Order Mark (BOM) UTF-8 pode levar a uma negação de serviço. Quando a função decode json() processa um BOM UTF-8 de 3 bytes, ela avança o ponteiro de string do escalar de entrada usando SvPV set(). Se o processo de decodificação for abortado por meio de uma exceção Perl — como quando um callback filter json object gera um erro — o ponteiro não é restaurado. Isso deixa o escalar com um comprimento reduzido e um ponteiro de string deslocado em seu próprio buffer. Consequentemente, quando o escalar é liberado, o alocador recebe um ponteiro inválido, fazendo com que o interpretador aborte e cause a falha do chamador.

Recomendações Atualize para a versão 4.41 ou posterior.