CVE-2026-7381 in Plack::Middleware::XSendfileИнформация

Сводка

по VulDB • 20.05.2026

Версии Plack::Middleware::XSendfile вплоть до 1.0053 для Perl позволяют осуществлять переписывание путей, контролируемое клиентом.

Plack::Middleware::XSendfile позволяет клиенту устанавливать параметр вариации (тип sendfile) через заголовок X-Sendfile-Type, если этот параметр не учитывается в конструкторе модуля или в окружении Plack.

Злоумышленник может установить заголовок X-Sendfile-Type в значение «X-Accel-Redirect» для сервисов, работающих за обратными прокси-серверами nginx, а затем задать заголовок X-Accel-Mapping для сопоставления пути с произвольным файлом на сервере.

Начиная с версии 1.0053, Plack::Middleware::XSendfile считается устаревшим (deprecated) и будет удален из будущих выпусков Plack.

Эта уязвимость аналогична CVE-2025-61780 для Rack::Sendfile, хотя Plack::Middleware::XSendfile содержит некоторые механизмы смягчения последствий, которые запрещают использование регулярных выражений в сопоставлении и применяют его только для типа «X-Accel-Redirect».

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

CPANSec

Резервировать

29.04.2026

Раскрытие

30.04.2026

Модерация

принято

Вход

VDB-360228

CPE

готов

CWE

CWE-200 (Подтверждённый)

CVSS

5.3 (VulDB)

EPSS

0.00013

KEV

Нет

Деятельности

Очень низкий

Сектор

Transportation, Telecommunication, ...

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-7381
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-7381
CVE Details	https://www.cvedetails.com/cve/CVE-2026-7381/

◂ Предыдущий Обзор Далее ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!