CVE-2026-45179

Plack::Middleware::Statsd versions before 0.9.0 for Perl may leak user IP addresses

CVSS 5.3 MEDIUMEPSS 0.2%CWE-319

En resumen

Un middleware Perl de Plack llamado Statsd puede filtrar direcciones IP de usuarios si la conexión al sistema de monitoreo no está asegurada. Esto es un riesgo de privacidad porque atacantes en la red pueden descubrir quién está accediendo a la aplicación.

Detalle técnico

CWE-319 (Transmisión en Texto Plano de Información Sensible): Plack::Middleware::Statsd versiones <0.9.0 transmiten direcciones IP de usuarios sin cifrar vía UDP a daemons statsd sin autenticación. Un atacante con acceso a la red del canal de comunicación statsd puede interceptar pasivamente direcciones IP. La mitigación en v0.9.0 reemplaza el registro de IP en texto plano con valores firmados con HMAC, disponible solo cuando se configura explícitamente.

Resumen generado y traducido por IA a partir de la descripción oficial.

Plack::Middleware::Statsd versions before 0.9.0 for Perl may leak user IP addresses. If the communication channel to the statsd daemon is not secured (for example, by sending UDP packets to a host on another network), then users' IP addresses may be leaked. Since version 0.9.0, the IP address is no longer logged to statsd unless configured. When configured, an HMAC signature of the IP address is logged instead.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Productos afectados

RRWO · Plack::Middleware::Statsd

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/robrwo/Plack-Middleware-Statsd/security/advisories/GHSA-9gwm-665p-w2xx https://metacpan.org/release/RRWO/Plack-Middleware-Statsd-v0.9.0/changes http://www.openwall.com/lists/oss-security/2026/05/10/4