Moduł Perl UnQLite w wersji 0.06 i wcześniejszych osadza wewnętrznie wersję biblioteki UnQLite z 2014 roku, która może zawierać podatność na przepełnienie bufora sterty (heap-based overflow). Krytyczny wynik CVSS 9.8 wskazuje na poważne ryzyko dla aplikacji korzystających z tego modułu.
▸ Pokaż oryginał (EN)
UnQLite versions through 0.06 for Perl uses a potentially insecure version of the UnQLite library. UnQLite for Perl embeds the UnQLite library. Version 0.06 and earlier of the Perl module uses a version of the library from 2014 that may be vulnerable to a heap-based overflow.
Moduł Perl UnQLite nie korzysta z systemowej instalacji biblioteki UnQLite, lecz dołącza jej kopię bezpośrednio do paczki. Osadzona wersja biblioteki pochodzi z 2014 roku i może zawierać błąd przepełnienia bufora sterty (heap-based overflow). Atakujący potencjalnie może dostarczyć spreparowane dane wejściowe, które wywołają nieprawidłową operację na pamięci sterty, prowadząc do uszkodzenia jej zawartości.
Skuteczne wykorzystanie podatności może umożliwić atakującemu zdalne wykonanie dowolnego kodu (RCE), a także doprowadzić do naruszenia poufności, integralności i dostępności systemu — zgodnie z wektorem CVSS (C:H/I:H/A:H).
Należy zaktualizować moduł Perl UnQLite do wersji 0.07 lub nowszej, która zawiera zaktualizowaną wersję biblioteki UnQLite. Informacje o zmianie dostępne są w pliku Changes dla wersji 0.07 na MetaCPAN.
Moduł Perl UnQLite (Tokuhirom/UnQLite) w wersji 0.06 i wcześniejszych
Podatność dotyczy osadzonej (vendored) kopii biblioteki UnQLite — samo posiadanie aktualnej biblioteki systemowej UnQLite nie eliminuje problemu; konieczna jest aktualizacja modułu Perl. W opisie wskazano powiązanie z CVE-2025-3791 jako referencję dotyczącą biblioteki UnQLite.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HTokuhirom Unqlite
APPTokuhirom< 0.07
Powiązane podatności
Amon2 dla Perl — słabe generowanie losowości w funkcjach bezpieczeństwa
Amon2::Plugin::Web::CSRFDefender versions from 7.00 through 7.03 for Perl generate an insecure session id. Th...
HTTP::Session2 versions through 1.09 for Perl does not validate the format of user provided session ids, enabl...
HTTP::Session2 versions before 1.12 for Perl for Perl may generate weak session ids using the rand() function....