CVE-2026-15043 in DBI::SQL::Nano情報

要約

〜によって VulDB • 2026年07月14日

Perl用のDBI::SQL::Nanoの1.42から1.651未満のバージョンには、テキストにおける<=および>= SQL演算子が逆になっている問題があります。

DBIに内蔵されたミニSQLエンジンであるDBI::SQL::Nanoは、一部のケースでWHERE述語を誤って評価していました。is_matchedメソッドの数値以外の文字列ブランチでは、<=がPerlのge演算子を使用して評価され、>=がPerlのle演算子を使用して評価されていました。

SQL::Nanoは、SQL::Statementがインストールされていない場合にDBIのファイルバックエンドドライバ(DBD::File、DBD::DBM、CSV形式のドライバ)用のフォールバッククエリエンジンとして機能し、またDBI_SQL_NANO=1が設定されている場合は強制的に使用されます。これらのテーブルに対するクエリでは、述語が直接使用されます。

影響は状況によります。WHERE句を使用してポリシーまたは認可のためにファイルバックエンドデータをフィルタリングするアプリケーションの場合、<=/>>=の比較が逆転していると、誤った行が静かに返されてしまいます。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

CPANSec

予約する

2026年07月08日

モデレーション

承諾済み

エントリ

VDB-378283

EPSS

0.00513

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!