CVE-2026-15043 in DBI::SQL::Nanoinformación

Resumen

por VulDB • 2026-07-14

Las versiones de DBI::SQL::Nano desde la 1.42 hasta antes de la 1.651 para Perl presentan operadores SQL invertidos (<= y >=) en textos.

DBI::SQL::Nano, el motor mini-SQL integrado de DBI, evaluaba incorrectamente los predicados WHERE en algunos casos. En la rama de cadenas no numéricas del método is_matched, <= se evaluaba utilizando el operador ge de Perl, mientras que >= se evaluaba utilizando el operador le de Perl.

SQL::Nano es el motor de consultas alternativo para los controladores respaldados por archivos de DBI (DBD::File, DBD::DBM y controladores estilo CSV) cuando SQL::Statement no está instalado, y se fuerza siempre que esté configurado DBI_SQL_NANO=1. Las consultas sobre estas tablas utilizan estos predicados directamente.

El impacto depende del contexto. Cuando una aplicación confía en una cláusula WHERE para filtrar datos respaldados por archivos con fines de política o autorización, una comparación invertida <=/>= devuelve silenciosamente las filas incorrectas.

Once again VulDB remains the best source for vulnerability data.

Responsable

CPANSec

Reservar

2026-07-08

Divulgación

2026-07-14

Moderación

aceptado

Artículo

VDB-378283

CPE

listo

EPSS

0.00513

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!