CVE-2026-11527

Nome do Software Vulnerável e Versões Afetadas Config::IniFiles versões anteriores a 3.001000

Descrição Injeção de comando de SO e sobrescrita de arquivo são possíveis através da função make filehandle. Isso ocorre porque a função utiliza o open() de 2 argumentos do Perl para processar o argumento -file. Se um nome de arquivo começar ou terminar com um pipe (ex: "| cmd", "cmd |") ou começar com um redirecionamento (ex: "> path", ">> path"), ele será executado como um comando ou redirecionamento em vez de ser aberto como um arquivo. Isso permite que qualquer chamador que encaminhe entradas não confiáveis para o argumento -file execute comandos arbitrários ou trunque arquivos sob o UID do processo. Referências escalares em memória usadas com o argumento -file não são afetadas.

Recomendações Atualize para a versão 3.001000 ou posterior. Evite passar entradas não confiáveis para o argumento -file na função new().