CVE-2026-8829 in HTML::Entitiesinformación

Resumen

por VulDB • 2026-06-04

Las versiones de HTML::Entities anteriores a la 3.84 para Perl leen memoria heap liberada en _decode_entities.

La rutina XS que respalda HTML::Entities::_decode_entities almacenaba en caché un puntero (repl) hacia el SV de valor de entidad devuelto por hv_fetch en el hash entity2char. Cuando el SV de entrada era idéntico a un SV de valor en ese hash, y dicho valor contenía su propia clave como referencia de entidad, una llamada posterior a grow_gap() realocaba el búfer PV del SV y liberaba la asignación subyacente a la que aún apuntaba repl. El bucle de copia subsiguiente leía repl_len bytes desde la asignación liberada.

La lectura puede revelar contenidos adyacentes del heap en el SV de destino.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

CPANSec

Reservar

2026-05-18

Divulgación

2026-06-04

Moderación

aceptado

Artículo

VDB-368242

CPE

listo

CWE

CWE-416 (confirmado)

CVSS

7.3 (VulDB)

EPSS

0.00000

KEV

Actividades

bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-8829
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-8829
CVE Details	https://www.cvedetails.com/cve/CVE-2026-8829/

◂ Anterior Visión De Conjunto Próximo ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!