CVE-2026-46719

Net::Statsd::Lite versions before 0.9.0 for Perl allowed metric injections

CVSS 6.5 MEDIUMEPSS 0.3%CWE-150 CWE-93

Em resumo

Uma falha em Net::Statsd::Lite permite que invasores injetem métricas extras em sistemas de monitoramento ao adicionar caracteres especiais nos nomes das métricas. Isso pode desativar o monitoramento, ocultar dados reais ou enviar métricas falsas.

Detalhe técnico

Vulnerabilidades CWE-150 e CWE-93: nomes de métricas não validam caracteres de quebra de linha, dois-pontos e pipe, permitindo injeção de comandos arbitrários no protocolo StatsD. A exploração requer que um atacante controle os nomes de métricas passados à biblioteca; a injeção bem-sucedida pode introduzir métricas falsas ou manipulação de protocolo afetando a integridade do monitoramento.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Net::Statsd::Lite versions before 0.9.0 for Perl allowed metric injections. The metric names were not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Produtos afetados

RRWO · Net::Statsd::Lite

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/robrwo/Net-Statsd-Lite/commit/e1a8ab866d75c2827982134e9cf7e51a7f771153.patch https://metacpan.org/release/RRWO/Net-Statsd-Lite-v0.9.0/changes http://www.openwall.com/lists/oss-security/2026/05/16/9