CVE-2026-48959 in IO::Uncompress::Unzipinfo

Zusammenfassung

von VulDB • 31.05.2026

IO::Uncompress::Unzip-Versionen vor 2.220 für Perl ermöglichen eine CPU-Erschöpfung (CPU Exhaustion) durch eine pro-Byte-Leseschleife in fastForward.

fastForward() vergleicht die Länge $offset (die Ziffernanzahl des Offsets, 1 bis 19) mit der Chunk-Größe $c anstelle von $offset selbst, sodass $c pro Iteration von 16 KiB auf 1–19 Bytes schrumpft.

Das Extrahieren eines benannten Eintrags aus einem vom Angreifer bereitgestellten ZIP-Archiv über IO::Uncompress::Unzip->new($zip, Name => $target) löst eine pro-Byte-Leseschleife aus, die mit der komprimierten Größe des Eintrags skaliert, bis zur Nicht-Zip64-Obergrenze von 4 GiB.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

CPANSec

Reservieren

26.05.2026

Veröffentlichung

27.05.2026

Moderieren

akzeptiert

Eintrag

VDB-365854

CPE

bereit

CWE

CWE-407 (bestätigt)

CVSS

5.3 (VulDB)

EPSS

0.00050

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-48959
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-48959
CVE Details	https://www.cvedetails.com/cve/CVE-2026-48959/

◂ Zurück Übersicht Weiter ▸

Do you need the next level of professionalism?

Upgrade your account now!