Biblioteka Net::Statsite::Client dla języka Perl w wersjach do 1.1.0 nie usuwa znaków nowej linii ani innych znaków sterujących protokołu z nazw metryk i ich wartości, co umożliwia metric injection. Atakujący może manipulować danymi przesyłanymi do serwera statsite, potencjalnie fałszując metryki lub wstrzykując nieautoryzowane dane.
▸ Pokaż oryginał (EN)
Net::Statsite::Client versions through 1.1.0 for Perl allow metric injections. Net::Statsite::Client is a client for the statsite protocol, which is a variant of statsd. Newlines are not removed from metric names, allowing metric injections. Values are not sanitised for newlines or other protocol control characters such as colons or pipes, allowing metric injections.
Net::Statsite::Client jest klientem protokołu statsite (wariant statsd). Biblioteka nie sanityzuje znaków nowej linii w nazwach metryk, co pozwala na wstrzyknięcie dodatkowych linii do strumienia protokołu. Dodatkowo wartości metryk nie są oczyszczane ze znaków nowej linii ani innych znaków sterujących protokołu, takich jak dwukropek (:) czy pionowa kreska (|). Brak walidacji danych wejściowych umożliwia atakującemu, który kontroluje nazwy lub wartości metryk, manipulację parsowanymi komunikatami po stronie serwera.
Atakujący może wstrzykiwać fałszywe metryki do systemu monitorowania, manipulować danymi statystycznymi lub nadpisywać istniejące wartości metryk, co może prowadzić do naruszenia integralności i poufności zebranych danych.
Należy zastosować patch dostępny pod adresem wskazanym w referencjach producenta: https://security.metacpan.org/patches/N/Net-Statsite-Client/1.1.0/CVE-2026-11373-r1.patch. Zaleca się aktualizację biblioteki do wersji zawierającej poprawkę zgodnie z informacjami dostępnymi w repozytorium CPAN.
Net::Statsite::Client dla Perl w wersjach do 1.1.0 włącznie.
W referencjach wskazano powiązane identyfikatory CVE-2026-46719 oraz CVE-2026-46720, które mogą dotyczyć powiązanych podatności w tym samym komponencie lub protokole.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N