Katalog CVE

CVE-2026-46739

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 - wyżej niż 18% wszystkich znanych CVE

Streszczenie

Wersje Net::Statsd przed 0.13 dla Perla umożliwiają wstrzykiwanie metryk. Nazwy metryk nie są sprawdzane pod kątem nowych linii, dwukropków ani pionowych kresek, co pozwala na wstrzykiwanie dodatkowych metryk z niezaufanych źródeł.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowane wstrzykiwanie metryk, co może prowadzić do fałszywych danych statystycznych i potencjalnych problemów z monitorowaniem.

Rekomendacja

Zaleca się aktualizację do wersji Net::Statsd 0.13 lub nowszej oraz wprowadzenie walidacji nazw metryk i wartości w metodach update_stats i gauge.

Oryginalny opis (angielski, źródło NVD)

Net::Statsd versions before 0.13 for Perl allow metric injections. The metric names are not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics. The update_stats (used for updating counters) and gauge methods do not check that values are numeric (which would block metric injection).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS