CVE-2026-46739
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 - wyżej niż 18% wszystkich znanych CVE
Streszczenie
Wersje Net::Statsd przed 0.13 dla Perla umożliwiają wstrzykiwanie metryk. Nazwy metryk nie są sprawdzane pod kątem nowych linii, dwukropków ani pionowych kresek, co pozwala na wstrzykiwanie dodatkowych metryk z niezaufanych źródeł.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowane wstrzykiwanie metryk, co może prowadzić do fałszywych danych statystycznych i potencjalnych problemów z monitorowaniem.
Rekomendacja
Zaleca się aktualizację do wersji Net::Statsd 0.13 lub nowszej oraz wprowadzenie walidacji nazw metryk i wartości w metodach update_stats i gauge.
Oryginalny opis (angielski, źródło NVD)
Net::Statsd versions before 0.13 for Perl allow metric injections. The metric names are not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics. The update_stats (used for updating counters) and gauge methods do not check that values are numeric (which would block metric injection).

