CRITICAL🇬🇧 English

CVE-2026-3257

UnQLite dla Perl — osadzona nieaktualna biblioteka z potencjalnym heap overflow

CVSS 9.8v3.1pub. 2026-03-05upd. 2026-03-09

Moduł Perl UnQLite w wersji 0.06 i wcześniejszych osadza wewnętrznie wersję biblioteki UnQLite z 2014 roku, która może zawierać podatność na przepełnienie bufora sterty (heap-based overflow). Krytyczny wynik CVSS 9.8 wskazuje na poważne ryzyko dla aplikacji korzystających z tego modułu.

Pokaż oryginał (EN)

UnQLite versions through 0.06 for Perl uses a potentially insecure version of the UnQLite library. UnQLite for Perl embeds the UnQLite library. Version 0.06 and earlier of the Perl module uses a version of the library from 2014 that may be vulnerable to a heap-based overflow.

🤖 Analiza AI
Jak działa

Moduł Perl UnQLite nie korzysta z systemowej instalacji biblioteki UnQLite, lecz dołącza jej kopię bezpośrednio do paczki. Osadzona wersja biblioteki pochodzi z 2014 roku i może zawierać błąd przepełnienia bufora sterty (heap-based overflow). Atakujący potencjalnie może dostarczyć spreparowane dane wejściowe, które wywołają nieprawidłową operację na pamięci sterty, prowadząc do uszkodzenia jej zawartości.

Skutki

Skuteczne wykorzystanie podatności może umożliwić atakującemu zdalne wykonanie dowolnego kodu (RCE), a także doprowadzić do naruszenia poufności, integralności i dostępności systemu — zgodnie z wektorem CVSS (C:H/I:H/A:H).

Mitygacja

Należy zaktualizować moduł Perl UnQLite do wersji 0.07 lub nowszej, która zawiera zaktualizowaną wersję biblioteki UnQLite. Informacje o zmianie dostępne są w pliku Changes dla wersji 0.07 na MetaCPAN.

Kogo dotyczy

Moduł Perl UnQLite (Tokuhirom/UnQLite) w wersji 0.06 i wcześniejszych

Uwagi

Podatność dotyczy osadzonej (vendored) kopii biblioteki UnQLite — samo posiadanie aktualnej biblioteki systemowej UnQLite nie eliminuje problemu; konieczna jest aktualizacja modułu Perl. W opisie wskazano powiązanie z CVE-2025-3791 jako referencję dotyczącą biblioteki UnQLite.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Tokuhirom Unqlite

    APP
    Tokuhirom
    < 0.07
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-15604CRITICAL9.8PL ✓ten sam vendor

Amon2 dla Perl — słabe generowanie losowości w funkcjach bezpieczeństwa

CVE-2026-5082MEDIUM5.3ten sam vendor

Amon2::Plugin::Web::CSRFDefender versions from 7.00 through 7.03 for Perl generate an insecure session id. Th...

CVE-2018-25160MEDIUM6.5ten sam vendor

HTTP::Session2 versions through 1.09 for Perl does not validate the format of user provided session ids, enabl...

CVE-2026-3255MEDIUM6.5ten sam vendor

HTTP::Session2 versions before 1.12 for Perl for Perl may generate weak session ids using the rand() function....

CVE-2026-3257 — UnQLite dla Perl — osadzona nieaktualna biblioteka z potencjalnym heap overflow — CRITICAL 9.8 | CVEbaza.pl