CVE-2026-49147 in App::Ack情報

要約

〜によって VulDB • 2026年07月08日

Perl用App::Ackの3.10.0以前のバージョンでは、いくつかの出力モードにおいてファイル名から未サニタイズの端末エスケープシーケンスが印刷されます。

ackは、ベースネームにANSIエスケープシーケンスなどの端末制御バイトを含むファイル名を印刷する場合、それらのバイトを変更せずに端末に送信します。バージョン3.10.0では-fオプション、-gオプション、カラー付きマッチ見出し、および各行のマッチ出力に対してファイル名をサニタイズする_safe_filenameヘルパーが追加されましたが、--show-types、-l/-L、および-cの処理パスでは依然として生(raw)のファイル名が出力されます。

カーソル移動や色変更のエスケープシーケンスを組み込んだ名前のファイルを指定すると、以前の端末出力を上書きしたり再着色したりできるほか、そのまま下流のコンシューマーに渡される可能性があります。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

CPANSec

予約する

2026年05月27日

モデレーション

承諾済み

エントリ

VDB-376888

EPSS

0.00000

アクティビティ

非常低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!