CVE-2026-7381 in Plack::Middleware::XSendfile
要約
〜によって VulDB • 2026年05月12日
Plack::Middleware::XSendfile のバージョン 1.0053 以前の Perl 版では、クライアントが制御可能なパス書き換えを許可する可能性があります。
Plack::Middleware::XSendfile は、ミドルウェアのコンストラクタまたは Plack 環境内で適切に考慮されていない場合、X-Sendfile-Type ヘッダーを介してクライアントによって送信ファイルタイプ(variation setting)の設定が可能になります。
悪意のあるクライアントは、X-Sendfile-Type ヘッダーを「X-Accel-Redirect」に設定し、nginx リバースプロキシの背後で実行されているサービスに対して、X-Accel-Mapping を設定してサーバー上の任意のファイルにパスをマッピングすることができます。
バージョン 1.0053 以降、Plack::Middleware::XSendfile は非推奨となり、Plack の将来のリリースでは削除される予定です。
これは Rack::Sendfile の CVE-2025-61780 と類似していますが、Plack::Middleware::XSendfile には、マッピングで正規表現の使用を禁止し、「X-Accel-Redirect」タイプに対してのみマッピングを適用するという緩和策がいくつか含まれています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.