CVE-2025-40911
Net::CIDR::Set versions 0.10 through 0.13 for Perl does not properly consider leading zero characters in IP CIDR address strings, which could allow attackers to bypass access control that is based on IP addresses
Em resumo
A biblioteca Net::CIDR::Set para Perl (versões 0.10-0.13) não trata corretamente endereços IP com zeros à esquerda, permitindo que atacantes contornem controles de acesso baseados em IP usando notação octal não reconhecida pelo sistema.
Detalhe técnico
Net::CIDR::Set falha em normalizar endereços IP contendo zeros iniciais antes de comparar contra regras de blocos CIDR, permitindo que um atacante crafteie endereços IP em formato octal que ultrapassam listas de controle de acesso baseadas em IP. A vulnerabilidade afeta versões 0.10 a 0.13 e origina-se de tratamento inadequado de notação octal na análise de strings de IP, similar a CVE-2021-47154 em Net::CIDR::Lite.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Net::CIDR::Set versions 0.10 through 0.13 for Perl does not properly handle leading zero characters in IP CIDR address strings, which could allow attackers to bypass access control that is based on IP addresses.
Leading zeros are used to indicate octal numbers, which can confuse users who are intentionally using octal notation, as well as users who believe they are using decimal notation.
Net::CIDR::Set used code from Net::CIDR::Lite, which had a similar vulnerability CVE-2021-47154.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Produtos afetados
RRWO · Net::CIDR::SetQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →