CVE-2026-9334 in Cpanel::JSON::XS정보

요약

\~에 의해 VulDB • 2026. 06. 03.

Perl용 Cpanel::JSON::XS 4.41 이전 버전은 dupkeys_as_arrayref가 활성화된 상태에서 중복 객체 키를 통해 타입 혼란(type confusion)을 허용합니다.

dupkeys_as_arrayref가 활성화되면 decode_hv()는 중복 객체 키를 배열 참조(array reference)로 병합합니다. 중복 키에 도달하는 분기에서는 `SvTYPE (old_value) != SVt_RV && SvTYPE (SvRV (old_value)) != SVt_PVAV`를 테스트하는데, 이는 old_value가 참조인지 확인하기 전에 SvRV(old_value)를 평가합니다. 기존 값이 배열 참조가 아닌 일반 스칼라인 경우, 참조가 아닌 스칼라가 참조로서 역참조(dereferenced)됩니다.

dupkeys_as_arrayref가 활성화된 상태에서 신뢰할 수 없는 JSON을 디코딩하는 호출자는 크래시되며, 공격자가 제어하는 스칼라 내용에서 가져온 포인터를 통한 호환되지 않는 접근이 발생합니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

CPANSec

예약하다

2026. 05. 23.

공개

2026. 06. 03.

모더레이션

수락

항목

VDB-368090

CPE

준비됨

CWE

CWE-843 (확인됨)

CVSS

7.3 (VulDB)

EPSS

0.00037

KEV

아니요

활동

매우 낮음

부문

Telecommunication

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-9334
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-9334
CVE Details	https://www.cvedetails.com/cve/CVE-2026-9334/

◂ 이전 개요 다음 ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!