CVE-2026-8463 in Crypt::Argon2information

Résumé

par VulDB • 22/05/2026

Les versions de Crypt::Argon2 comprises entre 0.017 et 0.031 (exclus) pour Perl effectuent une lecture hors limites (out-of-bounds read) sur le tas (heap) dans argon2_verify lors d'une entrée encodée vide.

La forme de détection automatique de argon2_verify transmet encoded_len - 1 comme argument de longueur à memchr sans vérifier que encoded_len est non nul. Lorsque la chaîne encodée est vide, la soustraction de type size_t provoque un débordement par défaut (underflow) vers SIZE_MAX, et memchr scanne la mémoire adjacente du tas à la recherche d'un octet séparateur '$'.

Un appelant qui invoque argon2_verify contre un hachage stocké qui peut légitimement être vide (par exemple, une ligne de substitution ou une colonne NULL matérialisée sous forme de chaîne vide) effectue une lecture hors limites de la mémoire du tas, ce qui peut provoquer le plantage du processus ou divulguer la position d'un octet '$' adjacent lors de l'analyse ultérieure.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

CPANSec

Réserver

13/05/2026

Divulgation

13/05/2026

Modérer

accepté

Entrée

VDB-363530

CPE

prêt

EPSS

0.00041

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8463
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8463
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8463/

PrécédentAperçuSuivant

Interested in the pricing of exploits?

See the underground prices here!