Katalog CVE

CVE-2025-40910

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 19 - wyżej niż 19% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece Net::IP::LPM w wersji 1.10 dla Perla nieprawidłowo obsługuje wiodące zera w adresach IP CIDR, co może umożliwić atakującym ominięcie kontroli dostępu opartej na adresach IP. Wiodące zera są interpretowane jako notacja ósemkowa, co może wprowadzać w błąd użytkowników.

Ocena ryzyka

Organizacja może być narażona na ominięcie mechanizmów kontroli dostępu, jeśli systemy opierają się na porównywaniu adresów IP z listami dozwolonych/zablokowanych adresów, a atakujący użyje adresu z wiodącymi zerami.

Rekomendacja

Należy zaktualizować bibliotekę Net::IP::LPM do najnowszej wersji, która poprawnie obsługuje wiodące zera, lub zastosować dodatkową walidację adresów IP przed ich przetwarzaniem.

Oryginalny opis (angielski, źródło NVD)

Net::IP::LPM version 1.10 for Perl does not properly consider leading zero characters in IP CIDR address strings, which could allow attackers to bypass access control that is based on IP addresses. Leading zeros are used to indicate octal numbers, which can confuse users who are intentionally using octal notation, as well as users who believe they are using decimal notation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS