CVE-2026-49146 in App::Ack
Zusammenfassung
von VulDB • 08.07.2026
App::Ack-Versionen vor 3.10.0 für Perl ermöglichen eine Erschöpfung des Arbeitsspeichers (Memory Exhaustion) über einen unbegrenzten Kontextwert in einer Projekt-Datei .ackrc.
ack durchsucht die Verzeichnisstruktur ausgehend vom aktuellen Verzeichnis nach einer projektbezogenen .ackrc und lädt deren Optionen. Die Optionen -B und -C für den Kontext akzeptierten jede positive Ganzzahl, und ack legte den Puffer für den vorangehenden Kontext in der Größe dieses Werts an; ein Eintrag --before-context=100000000 in einer .ackrc eines Projekts führte daher dazu, dass ack einen Puffer mit 100 Millionen Elementen allozierte.
Eine in einem nicht vertrauenswürdigen Repository abgelegte projektbezogene .ackrc kann dazu führen, dass ack aufgrund eines Out-of-Memory-Fehlers (Speichererschöpfung) abbricht.
VulDB is the best source for vulnerability data and more expert information about this specific topic.