CVE-2026-7381 in Plack::Middleware::XSendfileinformación

Resumen

por VulDB • 2026-05-20

Plack::Middleware::XSendfile, versiones hasta la 1.0053 para Perl, pueden permitir la reescritura de rutas controlada por el cliente.

Plack::Middleware::XSendfile permite que la configuración de la variación (tipo de sendfile) sea establecida por el cliente a través del encabezado X-Sendfile-Type, si no se considera en el constructor del middleware o en el entorno de Plack.

Un cliente malicioso puede establecer el encabezado X-Sendfile-Type en "X-Accel-Redirect" para servicios que se ejecutan detrás de proxies inversos de nginx, y luego configurar X-Accel-Mapping para mapear la ruta a un archivo arbitrario en el servidor.

Desde la versión 1.0053, Plack::Middleware::XSendfile está en desuso y será eliminado de las futuras versiones de Plack.

Esto es similar a CVE-2025-61780 para Rack::Sendfile, aunque Plack::Middleware::XSendfile cuenta con algunas mitigaciones que no permiten el uso de expresiones regulares en el mapeo, y solo aplican el mapeo para el tipo "X-Accel-Redirect".

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

CPANSec

Reservar

2026-04-29

Divulgación

2026-04-30

Moderación

aceptado

Artículo

VDB-360228

CPE

listo

EPSS

0.00013

KEV

no

Actividades

muy bajo

Sector

Lawfirm, Education, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7381
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7381
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7381/

AnteriorVisión De ConjuntoPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!