製品・ソフトウェアに関する情報
Vulnerability Search
CosimoのNet::statsdにおけるCRLF インジェクションの脆弱性
Title CosimoのNet::statsdにおけるCRLF インジェクションの脆弱性
Summary

PerlのNet::Statsdバージョン0.13未満には、メトリックインジェクションの脆弱性があります。メトリック名に改行、コロン、パイプが含まれていないかのチェックが行われていません。信頼できないソースから生成されたメトリックが、追加のstatsdメトリックを注入する可能性があります。update_statsメソッドおよびゲージメソッドはカウンターを更新するために使用されますが、値が数値であるかどうかをチェックしないため、この問題が発生します。

Possible impacts ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 4, 2026, midnight
Registration Date June 9, 2026, 2:10 p.m.
Last Update June 9, 2026, 2:10 p.m.
CVSS3.0 : 警告
Score 5.3
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Affected System
Cosimo
Net::statsd 0.13 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
No Changed Details Date of change
1 [2026年06月09日]
  掲載		 June 9, 2026, 2:10 p.m.
NVD Vulnerability Information
CVE-2026-46719
Summary

Net::Statsd::Lite versions before 0.9.0 for Perl allowed metric injections.

The metric names were not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics.

Publication Date May 16, 2026, 11:16 p.m.
Registration Date May 17, 2026, 4:14 a.m.
Last Update May 19, 2026, 11:16 p.m.
Related information, measures and tools
Common Vulnerabilities List
CVE-2026-46720
Summary

Net::Statsd::Tiny versions before 0.3.8 for Perl allowed metric injections.

The metric names and set values were not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics.

Publication Date May 18, 2026, 3:16 a.m.
Registration Date May 18, 2026, 4:11 a.m.
Last Update May 19, 2026, 2:40 a.m.
Related information, measures and tools
Common Vulnerabilities List
CVE-2026-46739
Summary

Net::Statsd versions before 0.13 for Perl allow metric injections.

The metric names are not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics.

The update_stats (used for updating counters) and gauge methods do not check that values are numeric (which would block metric injection).

Publication Date June 5, 2026, 2:16 a.m.
Registration Date June 5, 2026, 4:11 a.m.
Last Update June 9, 2026, 1:31 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:cosimo:net\:\:statsd:*:*:*:*:*:perl:*:* 0.13
Related information, measures and tools
Common Vulnerabilities List