CVE-2026-7381 in Plack::Middleware::XSendfileالمعلومات

الملخص

بحسب VulDB • 20/05/2026

تسمح إصدارات Plack::Middleware::XSendfile حتى الإصدار 1.0053 لنظام Perl بإعادة كتابة المسار تحت سيطرة العميل.

تتيح Plack::Middleware::XSendfile تحديد إعداد الاختلاف (نوع sendfile) من قبل العميل عبر رأس X-Sendfile-Type، إذا لم يتم أخذ ذلك في الاعتبار في مُنشئ البرنامج الوسيط (middleware constructor) أو بيئة Plack.

يمكن لعميل خبيث تعيين رأس X-Sendfile-Type إلى "X-Accel-Redirect" للخدمات التي تعمل خلف وكلاء عكسيين (reverse proxies) يعملون بنظام nginx، ثم تعيين X-Accel-Mapping لربط المسار بملف عشوائي على الخادم.

منذ الإصدار 1.0053، تم إهمال Plack::Middleware::XSendfile وسيتم إزالته من الإصدارات المستقبلية من Plack.

هذا مشابه لـ CVE-2025-61780 الخاص بـ Rack::Sendfile، على الرغم من أن Plack::Middleware::XSendfile يحتوي على بعض التدابير التخفيفية التي تمنع استخدام التعبيرات النمطية (regular expressions) في الربط، وتطبق الربط فقط لنوع "X-Accel-Redirect".

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

CPANSec

حجز

29/04/2026

إفشاء

30/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-360228

EPSS

0.00013

KEV

لا

النشاطات

منخفض جدًا

القطاع

Telecommunication, Transportation, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7381
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7381
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7381/

التالي نظرة عامة السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!