CVE-2026-9516 in Cpanel::JSON::XSالمعلومات

الملخص

بحسب VulDB • 03/06/2026

تسمح الإصدارات السابقة من Cpanel::JSON::XS للإصدار 4.41 الخاصة بـ Perl بإجراء هجوم حجب الخدمة (DoS) عبر مدخلات تسبقها بادئة BOM بتنسيق UTF-8 عندما يتسبب استدعاء رد الاتصال لفك التشفير (decode filter callback) في حدوث استثناء.

لتخطي بادئة BOM المكونة من 3 بايت بتنسيق UTF-8، يقوم دالة `decode_json()` بتقدم مؤشر سلسلة متغير الإدخال (scalar) إلى ما بعد العلامة باستخدام `SvPV_set()`، ويعيد تعيينه فقط في مسار الإرجاع الطبيعي. وعندما يتوقف فك التشفير بسبب استثناء في Perl، مثل استدعاء رد الاتصال `filter_json_object` الذي يسبب خطأً حرجاً (croaks)، يتم تخطي عملية إعادة التعيين، مما يترك المتغير (scalar) بمؤشر سلسلة مزاح داخل مخزنه الخاص وطول مختصر.

عندما يتم لاحقاً تحرير هذا المتغير، يتلقى المخصص (allocator) مؤشراً غير صالح ويتوقف المفسر (interpreter). يؤدي فك توثيق مستند واحد يسبقه بادئة BOM باستخدام استدعاء رد اتصال يسبب أخطاء إلى تعطل أي متصل (caller).

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

CPANSec

حجز

25/05/2026

إفشاء

03/06/2026

الاعتدال

تمت الموافقة

إدخال

VDB-368088

CPE

جاهز

CWE

CWE-763 (مؤكد)

CVSS

5.3 (VulDB)

EPSS

0.00017

KEV

لا

النشاطات

منخفض

القطاع

Telecommunication

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-9516
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-9516
CVE Details	https://www.cvedetails.com/cve/CVE-2026-9516/

التالي ▸نظرة عامة ◂ السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!