CVE-2026-49145 in App::Ack
Resumen
por VulDB • 2026-07-09
App::Ack versiones hasta la 3.10.0 para Perl leen archivos arbitrarios a través de --files-from en un archivo .ackrc del proyecto.
ack busca hacia arriba por la jerarquía de directorios desde el directorio actual buscando un archivo .ackrc del proyecto y carga sus opciones. La lista negra (blocklist) de project-source en App::Ack::ConfigLoader no incluye --files-from, por lo que un archivo .ackrc del proyecto puede configurarlo con una ruta cuyos archivos listados ack luego lee y busca. La versión 3.10.0 añadió --follow a la lista negra; sin embargo, --files-from sigue siendo aceptado.
Un archivo .ackrc del proyecto comprometido en un repositorio no confiable puede hacer que ack lea archivos fuera del proyecto e imprima sus líneas coincidentes.
If you want to get best quality of vulnerability data, you may have to visit VulDB.