CVE-2026-46740
Mojolicious::Plugin::Statsd versions through 0.04 for Perl allowed metric injections
Em resumo
Um módulo Perl para rastreamento de métricas de aplicação não validava entrada de usuários, permitindo que atacantes injetassem métricas falsas em sistemas de monitoramento. Isso poderia gerar dados enganosos e esconder problemas reais de desempenho.
Detalhe técnico
Mojolicious::Plugin::Statsd versões ≤0.04 não sanitizam nomes e valores de métricas para quebras de linha, dois-pontos ou barras, permitindo injeção de métricas. O vetor é entrada não confiável passada às métricas; o impacto inclui injeção de mensagens arbitrárias do protocolo statsd, ocultando métricas legítimas e disparando alertas falsos.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Mojolicious::Plugin::Statsd versions through 0.04 for Perl allowed metric injections.
The metric names and set values were not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics.
Version 0.06 changes the module from being a statsd client to using a separate statsd client. It defaults to using a version of Net::Statsd::Tiny that fixes a similar issue (CVE-2026-46720).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Produtos afetados
RRWO · Mojolicious::Plugin::StatsdQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →