CRITICAL✓ PATCH🇬🇧 English

CVE-2006-10003

XML::Parser dla Perl — heap buffer overflow przez off-by-one przy głębokim zagnieżdżeniu XML

CVSS 9.8v3.1pub. 2026-03-19upd. 2026-06-30

Biblioteka XML::Parser dla języka Perl w wersjach do 2.47 zawiera błąd off-by-one prowadzący do przepełnienia bufora na stercie (heap buffer overflow). Podatność umożliwia atakującemu zdalnie wykonanie dowolnego kodu bez żadnego uwierzytelnienia.

Pokaż oryginał (EN)

XML::Parser versions through 2.47 for Perl has an off-by-one heap buffer overflow in st_serial_stack. In the case (stackptr == stacksize - 1), the stack will NOT be expanded. Then the new value will be written at location (++stackptr), which equals stacksize and therefore falls just outside the allocated buffer. The bug can be observed when parsing an XML file with very deep element nesting

🤖 Analiza AI
Jak działa

Błąd występuje w strukturze stosu serializacji (st_serial_stack). Gdy wskaźnik stosu (stackptr) osiąga wartość równą (stacksize - 1), mechanizm nie rozszerza bufora, po czym inkrementuje wskaźnik i zapisuje nową wartość pod adresem (stackptr == stacksize), który wykracza o jeden element poza przydzielony obszar pamięci na stercie. Warunek ten jest osiągany podczas parsowania dokumentu XML z wyjątkowo głoko zagnieżdżonymi elementami, co atakujący może wywołać, dostarczając odpowiednio spreparowany plik XML.

Skutki

Atakujący może nadpisać sąsiednie obszary pamięci sterty, co w praktyce może prowadzić do wykonania dowolnego kodu (RCE), ujawnienia danych lub destabilizacji procesu (crash aplikacji).

Mitygacja

Należy zaktualizować bibliotekę XML::Parser do wersji zawierającej poprawkę wskazaną w referencjach producenta (commit 3eb9cc95420fa0c3f76947c4708962546bf27cfd w repozytorium cpan-authors/XML-Parser). Użytkownicy dystrybucji Debian powinni zainstalować pakiet aktualizacyjny ogłoszony przez Debian LTS zgodnie z ogłoszeniem debian-lts-announce z kwietnia 2026.

Kogo dotyczy

XML::Parser dla Perl w wersjach do 2.47 włącznie (Toddr XML::Parser).

Uwagi

Błąd był pierwotnie zgłoszony jako ticket rt.cpan.org #19860. Publiczne ujawnienie nastąpiło 19 marca 2026 r. za pośrednictwem listy oss-security.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Toddr Xml\

    APP
    Toddr
    \
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Memory
CWE
Referencje

Powiązane podatności

CVE-2006-10002HIGH7.5ten sam produkt

XML::Parser versions through 2.45 for Perl could overflow the pre-allocated buffer size cause a heap corruptio...

CVE-2026-4177CRITICAL9.1PL ✓ten sam vendor

Heap buffer overflow i inne podatności w YAML::Syck dla Perl (do wersji 1.36)

CVE-2025-11683MEDIUM6.5ten sam vendor

YAML::Syck versions before 1.36 for Perl has missing null-terminators which causes out-of-bounds read and pote...