Katalog CVE

CVE-2026-9265

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 27 — wyżej niż 27% wszystkich znanych CVE

Streszczenie

Wersje Crypt::OpenSSL::PKCS12 przed 1.96 dla Perla pozwalają na odczyt poza granicami pamięci (OOB) w funkcji print_attribute dla atrybutu UTF8STRING. Funkcja ta kopiuje wartość atrybutu ASN.1 do bufora pamięci, nie dodając znaku NUL na końcu, co prowadzi do niebezpiecznego odczytu sąsiednich bajtów.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do odczytu danych z pamięci, co może prowadzić do ujawnienia wrażliwych informacji lub wykonania nieautoryzowanego kodu.

Rekomendacja

Zaleca się aktualizację do wersji Crypt::OpenSSL::PKCS12 1.96 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Crypt::OpenSSL::PKCS12 versions before 1.96 for Perl permits a heap OOB read in print_attribute UTF8STRING path. print_attribute() copies a UTF8STRING ASN.1 attribute value into a heap buffer sized exactly to its declared length via strncpy, leaving no NUL terminator. Downstream callers run strlen() on the result and pass the inflated length to newSVpvn(), copying attacker-influenced adjacent heap bytes into a Perl scalar.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS