NVD Vulnerability Detail

CVE-2026-9516

Summary	Cpanel::JSON::XS versions before 4.41 for Perl allow denial of service via UTF-8 BOM prefixed input when a decode filter callback throws. To skip a leading 3-byte UTF-8 BOM, decode_json() advances the input scalar's string pointer past the mark with SvPV_set() and restores it only on the normal return path. When decoding aborts through a Perl exception, for example a filter_json_object callback that croaks, the restore is skipped and the scalar is left with its string pointer offset into its own buffer and a shortened length. When that scalar is later freed, the allocator receives an invalid pointer and the interpreter aborts. A single BOM prefixed document decoded with a throwing filter callback crashes any caller.
Publication Date	June 3, 2026, 10:16 a.m.
Registration Date	June 4, 2026, 4:16 a.m.
Last Update	June 6, 2026, 2:35 a.m.

CVSS3.1 : HIGH
スコア	7.5
Vector	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	高

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:rurban:cpanel\:\:json\:\:xs::::::perl::*					4.41

Related information, measures and tools

No	URL	refsource
1	https://github.com/rurban/Cpanel-JSON-XS/commit/dfe1b41a36caba51dc12a2917fe50285d1ffaa7b.patch	9b29abf9-4ab0-4765-b253-1875cd9b441e
2	https://metacpan.org/release/RURBAN/Cpanel-JSON-XS-4.41/changes	9b29abf9-4ab0-4765-b253-1875cd9b441e
3	http://www.openwall.com/lists/oss-security/2026/06/03/5	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-755	例外的な状態における不適切な処理	https://cwe.mitre.org/data/definitions/755.html
2	CWE-763	無効なポインタや参照の解放	https://cwe.mitre.org/data/definitions/763.html

JVN Vulnerability Information

Reini UrbanのCpanel::JSON::XSにおける複数の脆弱性

Title	Reini UrbanのCpanel::JSON::XSにおける複数の脆弱性
Summary	Perl用のCpanel::JSON::XSの4.41未満のバージョンでは、デコードフィルターのコールバックが例外をスローした際に、UTF-8 BOM付き入力によってサービス拒否が発生する可能性があります。decode_json()は、先頭の3バイトのUTF-8 BOMをスキップするためにSvPV_set()を使って入力スカラーの文字列ポインタをマークの先に進め、正常終了時にのみ元に戻します。しかし、例えばfilter_json_objectコールバックがcroakでデコードがPerlの例外を通じて中断された場合、その復元がスキップされ、スカラーは自身のバッファ内でオフセットされた文字列ポインタと短縮された長さのままの状態で残ります。その後、このスカラーが解放されると、アロケータは無効なポインタを受け取り、インタプリタが異常終了します。BOM付きドキュメントをスローするフィルターコールバックでデコードすると、呼び出し元は必ずクラッシュします。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 3, 2026, midnight
Registration Date	June 8, 2026, 12:30 p.m.
Last Update	June 8, 2026, 12:30 p.m.

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-9516	https://www.cve.org/CVERecord?id=CVE-2026-9516
National Vulnerability Database (NVD)
2	CVE-2026-9516	https://nvd.nist.gov/vuln/detail/CVE-2026-9516

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-755	https://cwe.mitre.org/data/definitions/755.html
2	CWE-763	https://cwe.mitre.org/data/definitions/763.html

ベンダー情報

No	Name	URL
Openwall mailing list archives
1	oss-security - CVE-2026-9516: Cpanel::JSON::XS versions before 4.41 for Perl allow denial of service via UTF-8 BOM prefixed input when a decode filter callback throws	http://www.openwall.com/lists/oss-security/2026/06/03/5

その他

No	Name	URL
関連文書
1	Changes - metacpan.org	https://metacpan.org/release/RURBAN/Cpanel-JSON-XS-4.41/changes
2	https://github.com/rurban/Cpanel-JSON-XS/commit/dfe1b41a36caba51dc12a2917fe50285d1ffaa7b.patch	https://github.com/rurban/Cpanel-JSON-XS/commit/dfe1b41a36caba51dc12a2917fe50285d1ffaa7b.patch

Change Log

No	Changed Details	Date of change
1	[2026年06月08日] 掲載	June 8, 2026, 12:30 p.m.