CVE-2026-45179

Plack::Middleware::Statsd versions before 0.9.0 for Perl may leak user IP addresses

CVSS 5.3 MEDIUMEPSS 0.2%CWE-319

Em resumo

Uma biblioteca Perl do Plack chamada Statsd pode vazar endereços IP dos usuários se a conexão com o sistema de monitoramento não for segura. Isso é um risco de privacidade porque atacantes na rede podem descobrir quem está acessando a aplicação.

Detalhe técnico

CWE-319 (Transmissão em Texto Plano de Informações Sensíveis): Plack::Middleware::Statsd versões <0.9.0 transmitem endereços IP de usuários não criptografados via UDP para daemons statsd sem segurança. Um atacante com acesso à rede do canal de comunicação statsd pode interceptar passivamente os endereços IP. A mitigação na v0.9.0 substitui o registro de IP em texto plano por valores assinados com HMAC, disponível apenas quando explicitamente configurado.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Plack::Middleware::Statsd versions before 0.9.0 for Perl may leak user IP addresses. If the communication channel to the statsd daemon is not secured (for example, by sending UDP packets to a host on another network), then users' IP addresses may be leaked. Since version 0.9.0, the IP address is no longer logged to statsd unless configured. When configured, an HMAC signature of the IP address is logged instead.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Produtos afetados

RRWO · Plack::Middleware::Statsd

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/robrwo/Plack-Middleware-Statsd/security/advisories/GHSA-9gwm-665p-w2xx https://metacpan.org/release/RRWO/Plack-Middleware-Statsd-v0.9.0/changes http://www.openwall.com/lists/oss-security/2026/05/10/4