CVE-2026-48962 in IO::Compressinformação

Sumário

de VulDB • 27/05/2026

As versões do IO::Compress anteriores à 2.220 para Perl podem executar código arbitrário no File::GlobMapper por meio de um glob de saída controlado pelo atacante.

A função _parseOutputGlob() envolve a string de glob de saída fornecida pelo chamador entre aspas duplas e a armazena no estado do analisador; em seguida, a função _getFiles() executa a expressão armazenada por meio de eval STRING. Uma aspas duplas literal no glob de saída fecha o wrapper de aspas duplas, e os caracteres subsequentes são avaliados como código Perl.

Código Perl arbitrário no glob de saída é executado com os privilégios do processo chamador.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

CPANSec

Reservar

26/05/2026

Divulgação

27/05/2026

Moderação

aceite

Entrada

VDB-365856

CPE

pronto

CWE

CWE-95 (confirmado)

CVSS

7.3 (VulDB)

EPSS

0.00081

KEV

não

Atividades

baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-48962
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-48962
CVE Details	https://www.cvedetails.com/cve/CVE-2026-48962/

◂ Voltar Visão Geral Próximo ▸

Want to know what is going to be exploited?

We predict KEV entries!