CVE-2026-8721
KrytyczneStreszczenie
Wersje Crypt::OpenSSL::PKCS12 do 1.94 dla Perla obcinają hasła zawierające wbudowane NULL-e. Parametry hasła w PKCS12.xs są zadeklarowane jako char *, co prowadzi do utraty długości hasła w Perl.
Ocena ryzyka
Organizacje mogą być narażone na ryzyko utraty entropii haseł, co może prowadzić do osłabienia bezpieczeństwa danych. Użytkownicy mogą nie być świadomi, że ich hasła są niekompletne.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Crypt::OpenSSL::PKCS12, aby uniknąć problemów z obcinaniem haseł. Należy również przeprowadzić audyt haseł w celu zapewnienia ich integralności.
Oryginalny opis (angielski, źródło NVD)
Crypt::OpenSSL::PKCS12 versions through 1.94 for Perl truncates passwords with embedded NULLs. Password parameters in PKCS12.xs are declared char *, which routes through Perl's default typemap to SvPV_nolen. The Perl length is discarded. The C code (or OpenSSL internally) calls strlen() on the buffer. Any password byte at or after the first NULL is silently dropped. Binary / KDF-derived / HMAC-derived passwords lose entropy without any warnings.

