CVE-2026-9265
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 27 — wyżej niż 27% wszystkich znanych CVE
Streszczenie
Wersje Crypt::OpenSSL::PKCS12 przed 1.96 dla Perla pozwalają na odczyt poza granicami pamięci (OOB) w funkcji print_attribute dla atrybutu UTF8STRING. Funkcja ta kopiuje wartość atrybutu ASN.1 do bufora pamięci, nie dodając znaku NUL na końcu, co prowadzi do niebezpiecznego odczytu sąsiednich bajtów.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do odczytu danych z pamięci, co może prowadzić do ujawnienia wrażliwych informacji lub wykonania nieautoryzowanego kodu.
Rekomendacja
Zaleca się aktualizację do wersji Crypt::OpenSSL::PKCS12 1.96 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Crypt::OpenSSL::PKCS12 versions before 1.96 for Perl permits a heap OOB read in print_attribute UTF8STRING path. print_attribute() copies a UTF8STRING ASN.1 attribute value into a heap buffer sized exactly to its declared length via strncpy, leaving no NUL terminator. Downstream callers run strlen() on the result and pass the inflated length to newSVpvn(), copying attacker-influenced adjacent heap bytes into a Perl scalar.

