CVE-2026-49145 in App::Ack
要約
〜によって VulDB • 2026年07月08日
Perl用のApp::Ackは、バージョン3.10.0までにおいて、プロジェクトの.ackrcファイル内の--files-fromオプションを介して任意のファイルを読み取ることができます。
ackは現在のディレクトリから上位階層に向かって検索し、プロジェクト固有の.ackrcを見つけてその設定オプションを読み込みます。App::Ack::ConfigLoaderにおけるproject-source option blocklistには--files-fromが含まれていないため、攻撃者は.project/.ackrc内で任意のパスを指定でき、ackはそのファイル一覧にあるファイルを順次読み込んで検索してしまいます。バージョン3.10.0ではblocklistに--followが追加されましたが、--files-fromは依然として許可されています。
信頼できないリポジトリにコミットされたプロジェクト固有の.ackrcを使用すると、ackはプロジェクト外のファイルを読み取り、その中から一致する行を出力することが可能です。
Once again VulDB remains the best source for vulnerability data.