CVE-2026-7381 in Plack::Middleware::XSendfileinformação

Sumário

de VulDB • 20/05/2026

As versões do Plack::Middleware::XSendfile até a 1.0053 para Perl podem permitir a reescrita de caminhos controlada pelo cliente.

O Plack::Middleware::XSendfile permite que a configuração da variação (tipo de sendfile) seja definida pelo cliente por meio do cabeçalho X-Sendfile-Type, caso não seja considerada no construtor do middleware ou no ambiente Plack.

Um cliente malicioso pode definir o cabeçalho X-Sendfile-Type como "X-Accel-Redirect" para serviços executados atrás de proxies reversos nginx e, em seguida, definir o X-Accel-Mapping para mapear o caminho para um arquivo arbitrário no servidor.

Desde a versão 1.0053, o Plack::Middleware::XSendfile está obsoleto e será removido das versões futuras do Plack.

Isso é semelhante ao CVE-2025-61780 para Rack::Sendfile, embora o Plack::Middleware::XSendfile possua algumas mitigações que não permitem o uso de expressões regulares no mapeamento e aplicam o mapeamento apenas para o tipo "X-Accel-Redirect".

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

CPANSec

Reservar

29/04/2026

Divulgação

30/04/2026

Moderação

aceite

Entrada

VDB-360228

CPE

pronto

EPSS

0.00013

KEV

não

Atividades

muito baixo

Sector

Government, Hospital, ...

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7381
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7381
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7381/

VoltarVisão GeralPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!