| タイトル | Steve SanbegのEtsy::StatsDにおけるCRLF インジェクションの脆弱性 |
|---|---|
| 概要 | Etsy::StatsDのPerl向けバージョン1.002002までには、メトリクスのインジェクションを許す脆弱性があります。メトリクス名と値に改行、コロン、パイプがチェックされていません。信頼できないソースから生成されたメトリクスは、追加のstatsdメトリクスを注入する可能性があります。なお、gitリポジトリには、ゲージおよびセットメソッドでも潜在的なメトリクスインジェクションをチェックしない未リリース版が含まれていることに注意が必要です。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月4日0:00 |
| 登録日 | 2026年6月9日14:10 |
| 最終更新日 | 2026年6月9日14:10 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
| Steve Sanbeg |
| Etsy::StatsD 1.002002 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月09日] 掲載 |
2026年6月9日14:10 |
| 概要 | Net::Statsd::Lite versions before 0.9.0 for Perl allowed metric injections. The metric names were not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics. |
|---|---|
| 公表日 | 2026年5月16日23:16 |
| 登録日 | 2026年5月17日4:14 |
| 最終更新日 | 2026年5月19日23:16 |
| 概要 | Net::Statsd::Tiny versions before 0.3.8 for Perl allowed metric injections. The metric names and set values were not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics. |
|---|---|
| 公表日 | 2026年5月18日3:16 |
| 登録日 | 2026年5月18日4:11 |
| 最終更新日 | 2026年5月19日2:40 |
| 概要 | Etsy::StatsD versions through 1.002002 for Perl allow metric injections. The metric names and values are not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics. Note that the git repository contains an unreleased version with the gauge and set methods that also do not check for potential metric injections. |
|---|---|
| 公表日 | 2026年6月5日2:16 |
| 登録日 | 2026年6月5日4:11 |
| 最終更新日 | 2026年6月9日1:33 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:sanbeg:etsy\:\:statsd:*:*:*:*:*:perl:*:* | 1.002002 | ||||