CVE-2026-49941
Net::CIDR::Set versions through 0.20 for Perl did not validate IP addresses
En resumen
La biblioteca Net::CIDR::Set de Perl, versiones hasta 0.20, no valida correctamente direcciones IP antes de procesarlas. Un atacante puede enviar direcciones IP malformadas que causan que el programa entre en un bucle infinito, derribando la aplicación.
Detalle técnico
El método add de Net::CIDR::Set hasta versión 0.20 carece de validación de entrada en direcciones IP; las entradas malformadas que no coinciden con patrones de máscara o rango se pasan recursivamente a _encode como netmasks de 32 o 128 bits, provocando recursión indefinida y negación de servicio. El vector de ataque es invocación directa del método con cadenas IP manipuladas.
Resumen generado y traducido por IA a partir de la descripción oficial.
Net::CIDR::Set versions through 0.20 for Perl did not validate IP addresses.
The add method called the _encode method to parse addresses. If the addresses did not look like netmasks or network ranges, then they were assumed to single IP addresses and passed back to itself as a 32-bit or 128-bit netmask.
If the argument was not a well-formed IP address, then this would lead to indefinite recursion.
An attacker could use this to cause a denial of service.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Productos afectados
RRWO · Net::CIDR::Set¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →