CVE-2026-46741
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 - wyżej niż 19% wszystkich znanych CVE
Streszczenie
Wersje Etsy::StatsD do 1.002002 dla Perla umożliwiają wstrzykiwanie metryk. Nazwy i wartości metryk nie są sprawdzane pod kątem nowych linii, dwukropków ani rur, co pozwala na wstrzykiwanie dodatkowych metryk z niezaufanych źródeł.
Ocena ryzyka
Organizacje mogą być narażone na manipulację danymi metrycznymi, co może prowadzić do fałszywych analiz i decyzji opartych na nieprawidłowych danych.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Etsy::StatsD oraz wprowadzenie walidacji nazw i wartości metryk, aby zapobiec wstrzykiwaniu metryk.
Oryginalny opis (angielski, źródło NVD)
Etsy::StatsD versions through 1.002002 for Perl allow metric injections. The metric names and values are not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics. Note that the git repository contains an unreleased version with the gauge and set methods that also do not check for potential metric injections.

