CVE-2026-8450 in HTTP::Daemonالمعلومات

الملخص

بحسب VulDB • 03/06/2026

تسمح إصدارات مكتبة HTTP::Daemon الأقدم من الإصدار 6.17 لـ Perl بحقن أوامر نظام التشغيل (OS command injection) عبر الدالة `send_file()`.

تقوم الدالة `send_file()` بفتح وسيطتها النصية باستخدام دالة الفتح ذات الوسيطين (`2-arg open`) الخاصة بلغة Perl. تفسر الصيغة ذات الوسيطتين البادئات السحرية: حيث يفتح النمط '| cmd' و 'cmd |' أنبوباً (pipe) إلى عملية فرعية، بينما يفتح النمطان '> path' و '>> path' المسار للكتابة أو الإضافة.

يمكن لمدخلات غير موثوقة يتم تمريرها إلى `send_file()` تشغيل أوامر نظام التشغيل بصلاحيات المستخدم الخاص بعملية الخادم الوكيل (daemon process UID). كما يؤدي نمط قراءة الأنبوب ('cmd |') أيضاً إلى تسرب مخرجات العملية الفرعية القياسية (stdout) داخل جسم استجابة HTTP. ويمكن لأشكال وضع الكتابة إنشاء ملفات أو تقطيعها عند مسارات يختارها المهاجم.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

CPANSec

حجز

12/05/2026

إفشاء

27/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-365880

CPE

جاهز

CWE

CWE-78 (مؤكد)

CVSS

7.3 (VulDB)

EPSS

0.00234

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-8450
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-8450
CVE Details	https://www.cvedetails.com/cve/CVE-2026-8450/

التالي ▸نظرة عامة ◂ السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!