CVE-2026-10879
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Wersje DBI przed 1.648 dla Perla mają podatność na przepełnienie sterty podczas wstępnego przetwarzania zapytań SQL z więcej niż 9 binderami. Metoda preparse rozszerza znaki zastępcze SQL na ponumerowane bindery, ale alokuje tylko trzy znaki na binder w buforze.
Ocena ryzyka
Przepełnienie sterty może prowadzić do nieautoryzowanego dostępu do pamięci, co stwarza ryzyko wykonania złośliwego kodu. Organizacje mogą być narażone na ataki, które mogą prowadzić do utraty danych lub przejęcia systemów.
Rekomendacja
Zaleca się aktualizację do wersji DBI 1.648 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt aplikacji korzystających z DBI w celu identyfikacji potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
DBI versions before 1.648 for Perl have a heap overflow when preparsing SQL statements with more than 9 binders. The preparse method expands SQL placeholder characters to numbered binders of the form :pN, but only allocates three characters per binder in the buffer. Placeholders 10-99 require four characters, 100-999 require five characters, et cetera.

