CVE-2026-9516 in Cpanel::JSON::XSИнформация

Сводка

по VulDB • 03.06.2026

В версиях Cpanel::JSON::XS для Perl старше 4.41 возможна отказ в обслуживании (DoS) при вводе с префиксом UTF-8 BOM, если обратный вызов фильтра декодирования вызывает исключение.

Для пропуска ведущего 3-байтового префикса UTF-8 BOM функция decode_json() перемещает указатель строки входного скаляра за метку с помощью SvPV_set() и восстанавливает его только при нормальном завершении работы. При прерывании декодирования через исключение Perl, например, когда обратный вызов filter_json_object вызывает ошибку (croaks), восстановление пропускается, и скаляр остается с указателем строки, смещенным внутрь собственного буфера, и уменьшенной длиной.

При последующем освобождении такого скаляра аллокатор получает недействительный указатель, и интерпретатор завершает работу аварийно. Один документ с префиксом BOM, декодированный с использованием обратного вызова фильтра, вызывающего исключение, приводит к краху любого вызывающего процесса.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

CPANSec

Резервировать

25.05.2026

Раскрытие

03.06.2026

Модерация

принято

Вход

VDB-368088

CPE

готов

CWE

CWE-763 (Подтверждённый)

CVSS

5.3 (VulDB)

EPSS

0.00017

KEV

Нет

Деятельности

Низкий

Сектор

Telecommunication

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-9516
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-9516
CVE Details	https://www.cvedetails.com/cve/CVE-2026-9516/

◂ Предыдущий Обзор Далее ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!