CRITICAL🇬🇧 English

CVE-2026-9270

DataDog::DogStatsd dla Perl — metric injection poprzez brak sanityzacji danych wejściowych

CVSS 9.1pub. 2026-06-05upd. 2026-06-10

Biblioteka DataDog::DogStatsd w wersjach do 0.07 dla języka Perl nie sanityzuje poprawnie danych wejściowych, umożliwiając atakującemu wstrzyknięcie fałszywych metryk (metric injection). Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika i może zostać wykorzystana zdalnie.

Pokaż oryginał (EN)

DataDog::DogStatsd versions through 0.07 for Perl allow metric injections. DataDog::DogStatsd does not properly sanitise input, allowing metric injections of data from untrusted sources. The send_stats method does not remove newlines from metric names ($stat variable), allowing attackers to change the metric name prefix. The send_stats method does not validate the content of the value ($delta variable), allowing attackers to inject metrics, especially from methods that do not restrict the data type for the value, such as set, gauge, count and histogram. The send_stats method does not validate the content of the tags, which may contain newlines, pipes and colons that allow metric injections. Note that the SYNOPSIS shows an example of passing a website form "loginName" parameter as a tag, which is unsafe.

🤖 Analiza AI
Jak działa

Metoda send_stats nie usuwa znaków nowej linii z nazw metryk (zmienna $stat), co pozwala atakującemu na zmianę prefiksu nazwy metryki. Metoda ta nie waliduje również zawartości wartości (zmienna $delta), przez co możliwe jest wstrzykiwanie dowolnych metryk — szczególnie przez metody takie jak set, gauge, count i histogram, które nie ograniczają typu danych dla tej wartości. Dodatkowo tagi przekazywane do send_stats nie są walidowane pod kątem obecności znaków nowej linii, pionowej kreski (pipe) oraz dwukropka, które umożliwiają przeprowadzenie metric injection. Dokumentacja biblioteki (sekcja SYNOPSIS) pokazuje jako przykład przekazywanie parametru formularza 'loginName' bezpośrednio jako tagu, co stanowi podatny wzorzec użycia.

Skutki

Atakujący może wstrzykiwać arbitralne metryki do systemu monitoringu, manipulując danymi zbieranymi przez DataDog, co może prowadzić do fałszowania statystyk aplikacji i naruszenia integralności danych monitoringowych (CWE-93, CWE-150). Wysoki poziom wpływu na poufność i integralność oznacza ryzyko podszywania się pod inne metryki oraz potencjalnego ujawnienia wrażliwych danych poprzez zmanipulowane nazwy metryk lub tagi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo należy zaprzestać przekazywania niezaufanych danych wejściowych (np. parametrów formularzy HTTP) bezpośrednio jako nazw metryk, wartości lub tagów do biblioteki DogStatsd bez uprzedniej walidacji i sanityzacji.

Kogo dotyczy

DataDog::DogStatsd dla Perl w wersjach do 0.07 włącznie

Uwagi

W opisie oryginalnym wskazano, że dokumentacja biblioteki (SYNOPSIS) zawiera niebezpieczny przykład użycia — przekazywanie parametru 'loginName' z formularza webowego bezpośrednio jako tagu. Referencje wskazują na powiązane identyfikatory CVE-2026-46719, CVE-2026-46720 oraz CVE-2026-46741, które mogą obejmować pokrewne aspekty tej podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Binary Datadog\

    APP
    Binary
    \
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-11362CRITICAL9.8PL ✓ten sam produkt

DataDog::DogStatsd dla Perl – podatność na metric injection przez tagi zdarzeń