CVE-2026-49145 in App::Ackinformación

Resumen

por VulDB • 2026-07-09

App::Ack versiones hasta la 3.10.0 para Perl leen archivos arbitrarios a través de --files-from en un archivo .ackrc del proyecto.

ack busca hacia arriba por la jerarquía de directorios desde el directorio actual buscando un archivo .ackrc del proyecto y carga sus opciones. La lista negra (blocklist) de project-source en App::Ack::ConfigLoader no incluye --files-from, por lo que un archivo .ackrc del proyecto puede configurarlo con una ruta cuyos archivos listados ack luego lee y busca. La versión 3.10.0 añadió --follow a la lista negra; sin embargo, --files-from sigue siendo aceptado.

Un archivo .ackrc del proyecto comprometido en un repositorio no confiable puede hacer que ack lea archivos fuera del proyecto e imprima sus líneas coincidentes.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

CPANSec

Reservar

2026-05-27

Divulgación

2026-07-08

Moderación

aceptado

Artículo

VDB-376885

CPE

listo

EPSS

0.00329

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!