CVE-2026-49942

Net::CIDR::Set versions through 0.20 for Perl did not validate network masks

CVSS 7.3 HIGHEPSS 0.3%CWE-1289

En resumen

Net::CIDR::Set, una biblioteca de Perl para gestionar rangos de red, aceptaba máscaras de red inválidas con dígitos Unicode y ceros iniciales, permitiendo interpretaciones incorrectas sobre qué redes deberían ser permitidas. Esto puede causar que las políticas de seguridad que restringen el acceso a la red fallen silenciosamente.

Detalle técnico

Net::CIDR::Set versiones ≤0.20 no valida correctamente la notación de máscara de red, aceptando caracteres de dígitos Unicode (como dígitos árabe-índicos U+0661) y caracteres no-dígitos que se ignoran, además de interpretar ceros iniciales como decimal en lugar de octal. Un atacante puede crear máscaras CIDR malformadas que eludan controles de acceso a la red o causen interpretaciones inesperadas de rangos de red en políticas de seguridad.

Resumen generado y traducido por IA a partir de la descripción oficial.

Net::CIDR::Set versions through 0.20 for Perl did not validate network masks. The mask portion of a network mask could contain Unicode digits such as the Arabic-Indic One (U+0661), or non-digits, which were ignored. This could allow network masks to accept larger networks. Leading zeros were also accepted, but treated as decimal instead of octal. This could lead to confusion about what networks are acceptable.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Productos afectados

RRWO · Net::CIDR::Set

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://metacpan.org/release/RRWO/Net-CIDR-Set-0.21/changes https://nvd.nist.gov/vuln/detail/CVE-2025-40911 https://nvd.nist.gov/vuln/detail/CVE-2026-45191