CVE-2026-7381 in Plack::Middleware::XSendfile정보

요약

\~에 의해 VulDB • 2026. 05. 20.

Perl용 Plack::Middleware::XSendfile 버전 1.0053 이하에서는 클라이언트가 경로 재작성을 제어할 수 있습니다.

Plack::Middleware::XSendfile는 미들웨어 생성자 또는 Plack 환경에서 이를 고려하지 않는 경우, 클라이언트가 X-Sendfile-Type 헤더를 통해 전송 유형(sendfile type) 설정을 변경할 수 있게 합니다.

악의적인 클라이언트는 nginx 리버스 프록시 뒤에 실행 중인 서비스에 대해 X-Sendfile-Type 헤더를 "X-Accel-Redirect"로 설정한 후, X-Accel-Mapping을 사용하여 서버의 임의 파일로 경로를 매핑할 수 있습니다.

1.0053 버전부터 Plack::Middleware::XSendfile는 더 이상 권장되지 않으며(deprecated), 향후 Plack 릴리스에서 제거될 예정입니다.

이 취약점은 Rack::Sendfile의 CVE-2025-61780과 유사하지만, Plack::Middleware::XSendfile에는 매핑에서 정규식 사용을 금지하고 "X-Accel-Redirect" 유형에 대해서만 매핑을 적용하는 일부 완화 조치가 포함되어 있습니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

CPANSec

예약하다

2026. 04. 29.

공개

2026. 04. 30.

모더레이션

수락

항목

VDB-360228

CPE

준비됨

CWE

CWE-200 (확인됨)

CVSS

5.3 (VulDB)

EPSS

0.00013

KEV

아니요

활동

매우 낮음

부문

Chemical, Lawfirm, ...

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-7381
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-7381
CVE Details	https://www.cvedetails.com/cve/CVE-2026-7381/

◂ 이전 개요 다음 ▸

Might our Artificial Intelligence support you?

Check our Alexa App!