CVE-2026-46740
Mojolicious::Plugin::Statsd versions through 0.04 for Perl allowed metric injections
En resumen
Un módulo Perl para rastreo de métricas de aplicación no validaba la entrada del usuario, permitiendo que atacantes inyectaran métricas falsas en sistemas de monitoreo. Esto podría generar datos engañosos y ocultar problemas reales de desempeño.
Detalle técnico
Mojolicious::Plugin::Statsd versiones ≤0.04 no sanean nombres y valores de métricas para saltos de línea, dos puntos o barras verticales, permitiendo inyección de métricas. El vector es entrada no confiable pasada a las métricas; el impacto incluye inyección de mensajes arbitrarios del protocolo statsd, enmascarando métricas legítimas y disparando alertas falsos.
Resumen generado y traducido por IA a partir de la descripción oficial.
Mojolicious::Plugin::Statsd versions through 0.04 for Perl allowed metric injections.
The metric names and set values were not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics.
Version 0.06 changes the module from being a statsd client to using a separate statsd client. It defaults to using a version of Net::Statsd::Tiny that fixes a similar issue (CVE-2026-46720).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Productos afectados
RRWO · Mojolicious::Plugin::Statsd¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →