Katalog CVE

CVE-2026-10879

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.05%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

Wersje DBI przed 1.648 dla Perla mają podatność na przepełnienie sterty podczas wstępnego przetwarzania zapytań SQL z więcej niż 9 binderami. Metoda preparse rozszerza znaki zastępcze SQL na ponumerowane bindery, ale alokuje tylko trzy znaki na binder w buforze.

Ocena ryzyka

Przepełnienie sterty może prowadzić do nieautoryzowanego dostępu do pamięci, co stwarza ryzyko wykonania złośliwego kodu. Organizacje mogą być narażone na ataki, które mogą prowadzić do utraty danych lub przejęcia systemów.

Rekomendacja

Zaleca się aktualizację do wersji DBI 1.648 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt aplikacji korzystających z DBI w celu identyfikacji potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

DBI versions before 1.648 for Perl have a heap overflow when preparsing SQL statements with more than 9 binders. The preparse method expands SQL placeholder characters to numbered binders of the form :pN, but only allocates three characters per binder in the buffer. Placeholders 10-99 require four characters, 100-999 require five characters, et cetera.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS