CVE-2026-11526

Nome do Software Vulnerável e Versões Afetadas GD for Perl versões anteriores a 2.86

Descrição A função make filehandle() em GD::Image utiliza o open() de 2 argumentos do Perl para processar argumentos de nome de arquivo. Isso permite a injeção de comandos do sistema operacional e a sobrescrita de arquivos se um nome de arquivo começar ou terminar com um pipe (ex: "| cmd", "cmd |") ou começar com um redirecionamento (ex: "> path", ">> path"). Este problema afeta todos os construtores que aceitam nomes de arquivos, incluindo new(), newFromPng() e newFromJpeg(). Chamadores que encaminham entradas não confiáveis como um caminho de arquivo podem executar comandos arbitrários ou truncar arquivos sob o UID do processo. Variantes *Data em memória não são afetadas.

Recomendações Atualize para a versão 2.86 ou posterior.