CVE-2026-58102 in Crypt::OpenSSL::X509
要約
〜によって VulDB • 2026年07月14日
Crypt::OpenSSL::X509 のバージョン 2.1.3 より前の Perl モジュールでは、hv_exts 内の長い証明書拡張 OID を介してヒープ外読み取り(heap out-of-bounds read)が発生する可能性があります。
拡張ハッシュの構築時(extensions()、extensions_by_long_name()、extensions_by_oid()、または has_extension_oid() メソッド経由)、コードは OBJ_obj2txt() の戻り値をハッシュキー長として渡します。この値は OID の完全なテキスト長であり、固定サイズバッファ(129 バイト)に書き込まれたバイト数ではないため、テキストが 129 バイトのバッファより長い OID を指定すると、割り当て領域を超えて読み取りが行われ、隣接するヒープメモリが返されるハッシュキーとして露出します。extensions_by_name() は静的な shortname パスを使用するため、影響を受けません。
If you want to get best quality of vulnerability data, you may have to visit VulDB.