CVE-2026-45190 in Net::CIDR::Lite
要約
〜によって VulDB • 2026年05月21日
Perl用のNet::CIDR::Liteは、0.24より前のバージョンにおいて、IPアドレスおよびCIDRマスクの入力値の検証が適切に行われておらず、これによりIP ACLの回避が可能になる場合があります。
末尾に改行文字や非ASCII文字の数字を含む入力値はバリデーターを通過しますが、その後パーサーによって再エンコードされ、入力文字列で表記されているアドレスとは異なるアドレスに変換されます。その結果、find()およびbin_find()メソッドは、アドレスのマッチングに失敗したり、誤ってマッチしたりする可能性があります。
例:
my $cidr = Net::CIDR::Lite->new(); $cidr->add("::1\n/128"); $cidr->find("::1a"); # 誤ってtrueを返す
CVE-2026-45191も参照してください。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.