CVE-2026-30909
CriticalSummary
Wersje Crypt::NaCl::Sodium do 2.002 dla Perla mają potencjalne przepełnienia całkowite. Funkcje bin2hex, encrypt, aes256gcm_encrypt_afternm i seal nie sprawdzają, czy rozmiar wyjścia będzie mniejszy niż SIZE_MAX, co może prowadzić do owinięcia całkowitego i zbyt małego bufora wyjściowego.
Risk Assessment
Chociaż napotkanie tego problemu jest mało prawdopodobne, ponieważ długość wiadomości musiałaby być bardzo duża, to jednak w przypadku wystąpienia podatności może to prowadzić do nieprzewidzianych zachowań aplikacji.
Recommendation
Zaleca się aktualizację do najnowszej wersji Crypt::NaCl::Sodium, aby zminimalizować ryzyko związane z przepełnieniem całkowitym oraz monitorowanie długości wiadomości w funkcjach, które mogą być podatne.
Original NVD description (English source)
Crypt::NaCl::Sodium versions through 2.002 for Perl has potential integer overflows. bin2hex, encrypt, aes256gcm_encrypt_afternm and seal functions do not check that output size will be less than SIZE_MAX, which could lead to integer wraparound causing an undersized output buffer. Encountering this issue is unlikely as the message length would need to be very large. For bin2hex() the bin_len would have to be > SIZE_MAX / 2 For encrypt() the msg_len would need to be > SIZE_MAX - 16U For aes256gcm_encrypt_afternm() the msg_len would need to be > SIZE_MAX - 16U For seal() the enc_len would need to be > SIZE_MAX - 64U

