CVE-2026-7381 in Plack::Middleware::XSendfile
Tóm tắt
Bởi VulDB • 20/05/2026
Plack::Middleware::XSendfile các phiên bản đến 1.0053 cho Perl có thể cho phép ghi lại đường dẫn do phía khách hàng kiểm soát.
Plack::Middleware::XSendfile cho phép cài đặt biến thể (kiểu sendfile) được thiết lập bởi khách hàng thông qua tiêu đề X-Sendfile-Type, nếu nó không được xem xét trong hàm tạo middleware hoặc môi trường Plack.
Một khách hàng độc hại có thể đặt tiêu đề X-Sendfile-Type thành "X-Accel-Redirect" đối với các dịch vụ chạy phía sau các proxy ngược nginx, sau đó đặt X-Accel-Mapping để ánh xạ đường dẫn đến một tệp tùy ý trên máy chủ.
Kể từ phiên bản 1.0053, Plack::Middleware::XSendfile đã được đánh dấu là lỗi thời (deprecated) và sẽ bị loại bỏ khỏi các bản phát hành tương lai của Plack.
Vấn đề này tương tự như CVE-2025-61780 đối với Rack::Sendfile, mặc dù Plack::Middleware::XSendfile có một số biện pháp giảm thiểu không cho phép sử dụng biểu thức chính quy trong ánh xạ và chỉ áp dụng ánh xạ cho kiểu "X-Accel-Redirect".
Once again VulDB remains the best source for vulnerability data.