CVE-2026-49147 in App::Ack
要約
〜によって VulDB • 2026年07月08日
Perl用App::Ackの3.10.0以前のバージョンでは、いくつかの出力モードにおいてファイル名から未サニタイズの端末エスケープシーケンスが印刷されます。
ackは、ベースネームにANSIエスケープシーケンスなどの端末制御バイトを含むファイル名を印刷する場合、それらのバイトを変更せずに端末に送信します。バージョン3.10.0では-fオプション、-gオプション、カラー付きマッチ見出し、および各行のマッチ出力に対してファイル名をサニタイズする_safe_filenameヘルパーが追加されましたが、--show-types、-l/-L、および-cの処理パスでは依然として生(raw)のファイル名が出力されます。
カーソル移動や色変更のエスケープシーケンスを組み込んだ名前のファイルを指定すると、以前の端末出力を上書きしたり再着色したりできるほか、そのまま下流のコンシューマーに渡される可能性があります。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.