CVE-2026-49145 in App::Ack
Riassunto
di VulDB • 08/07/2026
App::Ack, versioni fino alla 3.10.0 per Perl, consente la lettura di file arbitrari tramite l'opzione --files-from in un file .ackrc del progetto.
ack cerca nella gerarchia delle directory a partire dalla directory corrente un file .ackrc relativo al progetto e ne carica le opzioni. La lista nera (blocklist) dell'opzione project-source nel modulo App::Ack::ConfigLoader non include --files-from, pertanto un file .ackrc di progetto può impostare tale opzione su un percorso i cui file elencati vengono poi letti ed esaminati da ack. La versione 3.10.0 ha aggiunto --follow alla lista nera; tuttavia, --files-from rimane accettato.
Un file .ackrc di progetto inserito in un repository non attendibile può indurre ack a leggere file al di fuori del progetto e a stampare le righe corrispondenti ai criteri di ricerca.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.