製品・ソフトウェアに関する情報

JVN脆弱性詳細

Tom Molesworth (TEAM)のNet::Async::Statsd::ClientにおけるCRLF インジェクションの脆弱性

タイトル	Tom Molesworth (TEAM)のNet::Async::Statsd::ClientにおけるCRLF インジェクションの脆弱性
概要	Net::Async::Statsd::Client のバージョン 0.005 までの Perl には、メトリックインジェクションの脆弱性があります。メトリック名に改行、コロン、またはパイプが含まれていないかチェックされていません。信頼できないソースから生成されたメトリックが、追加の statsd メトリックを注入する可能性があります。
想定される影響	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月4日0:00
登録日	2026年6月9日14:10
最終更新日	2026年6月9日14:10

影響を受けるシステム

Tom Molesworth (TEAM)

Net::Async::Statsd::Client 0.005 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-46719	https://www.cve.org/CVERecord?id=CVE-2026-46719
2	CVE-2026-46720	https://www.cve.org/CVERecord?id=CVE-2026-46720
3	CVE-2026-8722	https://www.cve.org/CVERecord?id=CVE-2026-8722
National Vulnerability Database (NVD)
4	CVE-2026-8722	https://nvd.nist.gov/vuln/detail/CVE-2026-8722

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-93	https://cwe.mitre.org/data/definitions/93.html

変更履歴

No	変更内容	変更日
1	[2026年06月09日] 掲載	2026年6月9日14:10

NVD脆弱性情報

CVE-2026-46719

概要	Net::Statsd::Lite versions before 0.9.0 for Perl allowed metric injections. The metric names were not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics.
公表日	2026年5月16日23:16
登録日	2026年5月17日4:14
最終更新日	2026年5月19日23:16

No	URL	refsource
1	https://github.com/robrwo/Net-Statsd-Lite/commit/e1a8ab866d75c2827982134e9cf7e51a7f771153.patch	9b29abf9-4ab0-4765-b253-1875cd9b441e
2	https://metacpan.org/release/RRWO/Net-Statsd-Lite-v0.9.0/changes	9b29abf9-4ab0-4765-b253-1875cd9b441e
3	http://www.openwall.com/lists/oss-security/2026/05/16/9	af854a3a-2127-422b-91ae-364da2661108

概要	Net::Statsd::Tiny versions before 0.3.8 for Perl allowed metric injections. The metric names and set values were not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics.
公表日	2026年5月18日3:16
登録日	2026年5月18日4:11
最終更新日	2026年5月19日2:40

関連情報、対策とツール

No	URL	refsource
1	https://github.com/robrwo/Net-Statsd-Tiny/commit/06f814f52fbcc0b2afddf7a2d6f8137fd3cede13.patch	9b29abf9-4ab0-4765-b253-1875cd9b441e
2	https://metacpan.org/release/RRWO/Net-Statsd-Tiny-v0.3.8/changes	9b29abf9-4ab0-4765-b253-1875cd9b441e
3	https://www.cve.org/CVERecord?id=CVE-2026-46719	9b29abf9-4ab0-4765-b253-1875cd9b441e

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-93	CRLF インジェクション	https://cwe.mitre.org/data/definitions/93.html

CVE-2026-8722

概要	Net::Async::Statsd::Client versions through 0.005 for Perl allow metric injections. The metric names are not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics.
公表日	2026年6月4日9:17
登録日	2026年6月5日4:10
最終更新日	2026年6月9日1:39

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:team:net\:\:async\:\:statsd\:\:client::::::perl::*			0.005