CRITICAL🇬🇧 English

CVE-2025-40906

Krytyczne podatności w BSON::XS dla Perl — dołączona przestarzała biblioteka libbson

CVSS 9.8v3.1pub. 2025-05-16upd. 2026-04-15

BSON::XS w wersjach 0.8.4 i wcześniejszych dla Perl zawiera dołączoną bibliotekę libbson 1.1.7, która posiada wiele znanych podatności krytycznych. Komponent ten jest szczególnie niebezpieczny, ponieważ dystrybucja osiągnęła koniec życia (end of life) w sierpniu 2020 roku i nie otrzymuje już żadnych aktualizacji bezpieczeństwa.

Pokaż oryginał (EN)

BSON::XS versions 0.8.4 and earlier for Perl includes a bundled libbson 1.1.7, which has several vulnerabilities. Those include CVE-2017-14227, CVE-2018-16790, CVE-2023-0437, CVE-2024-6381, CVE-2024-6383, and CVE-2025-0755. BSON-XS was the official Perl XS implementation of MongoDB's BSON serialization, but this distribution has reached its end of life as of August 13, 2020 and is no longer supported.

🤖 Analiza AI
Jak działa

Podatność wynika z dołączenia przestarzałej wersji biblioteki libbson 1.1.7 bezpośrednio do pakietu BSON::XS (CWE-1104 — użycie nieobsługiwanego komponentu trzeciej strony). Biblioteka ta zawiera błędy klasy heap buffer overflow (CWE-122) oraz przepełnienia liczb całkowitych (CWE-190), sklasyfikowane jako CVE-2017-14227, CVE-2018-16790, CVE-2023-0437, CVE-2024-6381, CVE-2024-6383 oraz CVE-2025-0755. Atakujący może dostarczyć specjalnie spreparowane dane BSON, które wywołają podatne ścieżki kodu w bibliotece libbson podczas deserializacji.

Skutki

Wykorzystanie podatności może umożliwić atakującemu zdalne wykonanie kodu (RCE), ujawnienie poufnych danych lub doprowadzenie do awarii aplikacji — wszystko bez konieczności uwierzytelnienia i interakcji użytkownika, co potwierdza wektor CVSS AV:N/AC:L/PR:N/UI:N.

Mitygacja

Brak dostępnych aktualizacji — dystrybucja BSON::XS osiągnęła koniec życia 13 sierpnia 2020 roku i nie jest już wspierana. Zaleca się natychmiastowe zaprzestanie używania tego pakietu i migrację do alternatywnych, aktywnie utrzymywanych bibliotek obsługujących BSON dla Perl. Należy zapoznać się z referencjami producenta wskazanymi w opisie podatności.

Kogo dotyczy

BSON::XS w wersji 0.8.4 i wcześniejszych dla Perl zawierający dołączoną bibliotekę libbson 1.1.7

Uwagi

Dystrybucja BSON::XS osiągnęła oficjalny koniec życia (end of life) 13 sierpnia 2020 roku i nie będą wydawane żadne patche. Podatność agreguje sześć odrębnych CVE w dołączonej bibliotece libbson 1.1.7: CVE-2017-14227, CVE-2018-16790, CVE-2023-0437, CVE-2024-6381, CVE-2024-6383, CVE-2025-0755.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje