Katalog CVE

CVE-2026-11373

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 27 — wyżej niż 27% wszystkich znanych CVE

Streszczenie

Wersje Net::Statsite::Client do 1.1.0 dla Perla umożliwiają wstrzykiwanie metryk. Nowe linie nie są usuwane z nazw metryk, co pozwala na ich wstrzykiwanie.

Ocena ryzyka

Organizacje mogą być narażone na manipulację danymi metryk, co może prowadzić do fałszywych analiz i raportów.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Net::Statsite::Client, aby usunąć możliwość wstrzykiwania metryk.

Oryginalny opis (angielski, źródło NVD)

Net::Statsite::Client versions through 1.1.0 for Perl allow metric injections. Net::Statsite::Client is a client for the statsite protocol, which is a variant of statsd. Newlines are not removed from metric names, allowing metric injections. Values are not sanitised for newlines or other protocol control characters such as colons or pipes, allowing metric injections.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS