| タイトル | RRWO (Robert Rothenberg)のNet::CIDR::Setにおける安全でない等式による入力の不適切な検証に関する脆弱性 |
|---|---|
| 概要 | Perl用のNet::CIDR::Setバージョン0.20までには、ネットワークマスクの検証が行われていませんでした。ネットワークマスクのマスク部分にアラビア・インディック数字の「1」(U+0661)などのUnicode数字や、無視される非数字が含まれる可能性がありました。これにより、大きなネットワークを受け入れてしまう問題が発生しました。先頭のゼロも受け入れられていましたが、8進数ではなく10進数として扱われていました。これがどのネットワークが許容されるかについて混乱を招く原因となっていました。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアの一部が停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月4日0:00 |
| 登録日 | 2026年6月9日14:10 |
| 最終更新日 | 2026年6月9日14:10 |
| CVSS3.0 : 重要 | |
| スコア | 7.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
| RRWO (Robert Rothenberg) |
| Net::CIDR::Set 0.21 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月09日] 掲載 |
2026年6月9日14:10 |
| 概要 | Net::CIDR::Set versions through 0.20 for Perl did not validate network masks. The mask portion of a network mask could contain Unicode digits such as the Arabic-Indic One (U+0661), or non-digits, which were ignored. This could allow network masks to accept larger networks. Leading zeros were also accepted, but treated as decimal instead of octal. This could lead to confusion about what networks are acceptable. |
|---|---|
| 公表日 | 2026年6月5日2:16 |
| 登録日 | 2026年6月5日4:11 |
| 最終更新日 | 2026年6月9日1:37 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:rrwo:net\:\:cidr\:\:set:*:*:*:*:*:perl:*:* | 0.21 | ||||