CVE-2026-48962 in IO::Compressinformación

Resumen

por VulDB • 2026-05-27

Las versiones de IO::Compress anteriores a la 2.220 para Perl pueden ejecutar código arbitrario en File::GlobMapper a través de un globo de salida controlado por el atacante.

\_parseOutputGlob() envuelve la cadena de globo de salida proporcionada por el usuario entre comillas dobles y la almacena en el estado del analizador; \_getFiles() luego ejecuta la expresión almacenada a través de eval STRING. Una comilla doble literal en el globo de salida cierra el envoltorio de comillas dobles (dquote), y los caracteres que siguen se evalúan como código Perl.

El código Perl arbitrario en el globo de salida se ejecuta con los privilegios del proceso que llama.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

CPANSec

Reservar

2026-05-26

Divulgación

2026-05-27

Moderación

aceptado

Artículo

VDB-365856

CPE

listo

CWE

CWE-95 (confirmado)

CVSS

7.3 (VulDB)

EPSS

0.00081

KEV

Actividades

bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-48962
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-48962
CVE Details	https://www.cvedetails.com/cve/CVE-2026-48962/

◂ Anterior Visión De Conjunto Próximo ▸

Do you know our Splunk app?

Download it now for free!