CVE-2026-48962 in IO::Compressthông tin

Tóm tắt

Bởi VulDB • 27/05/2026

Các phiên bản của IO::Compress trước 2.220 dành cho Perl có thể thực thi mã tùy ý trong File::GlobMapper thông qua một chuỗi glob đầu ra do kẻ tấn công kiểm soát.

Hàm _parseOutputGlob() bao bọc chuỗi glob đầu ra do người gọi cung cấp trong dấu ngoặc kép kép và lưu trữ nó trong trạng thái trình phân tích cú pháp; sau đó, _getFiles() chạy biểu thức đã lưu trữ qua lệnh eval STRING. Một dấu ngoặc kép kép trong chuỗi glob đầu ra sẽ đóng gói dquote, và các ký tự theo sau được đánh giá như mã Perl.

Mã Perl tùy ý trong chuỗi glob đầu ra sẽ được thực thi với đặc quyền của tiến trình gọi.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

CPANSec

Đặt trước

26/05/2026

Tiết lộ

27/05/2026

Kiểm duyệt

được chấp nhận

mục

VDB-365856

CPE

sẵn sàng

CWE

CWE-95 (Đã xác nhận)

CVSS

7.3 (VulDB)

EPSS

0.00081

KEV

không

Các hoạt động

thấp

Nguồn

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-48962
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-48962
CVE Details	https://www.cvedetails.com/cve/CVE-2026-48962/

◂ Trước Tổng Quan Tiếp theo ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!