Katalog CVE

CVE-2026-46741

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 19 - wyżej niż 19% wszystkich znanych CVE

Streszczenie

Wersje Etsy::StatsD do 1.002002 dla Perla umożliwiają wstrzykiwanie metryk. Nazwy i wartości metryk nie są sprawdzane pod kątem nowych linii, dwukropków ani rur, co pozwala na wstrzykiwanie dodatkowych metryk z niezaufanych źródeł.

Ocena ryzyka

Organizacje mogą być narażone na manipulację danymi metrycznymi, co może prowadzić do fałszywych analiz i decyzji opartych na nieprawidłowych danych.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Etsy::StatsD oraz wprowadzenie walidacji nazw i wartości metryk, aby zapobiec wstrzykiwaniu metryk.

Oryginalny opis (angielski, źródło NVD)

Etsy::StatsD versions through 1.002002 for Perl allow metric injections. The metric names and values are not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics. Note that the git repository contains an unreleased version with the gauge and set methods that also do not check for potential metric injections.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS