| Title | RRWO (Robert Rothenberg)のNet::CIDR::Setにおける安全でない等式による入力の不適切な検証に関する脆弱性 |
|---|---|
| Summary | Perl用のNet::CIDR::Setバージョン0.20までには、ネットワークマスクの検証が行われていませんでした。ネットワークマスクのマスク部分にアラビア・インディック数字の「1」(U+0661)などのUnicode数字や、無視される非数字が含まれる可能性がありました。これにより、大きなネットワークを受け入れてしまう問題が発生しました。先頭のゼロも受け入れられていましたが、8進数ではなく10進数として扱われていました。これがどのネットワークが許容されるかについて混乱を招く原因となっていました。 |
| Possible impacts | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアの一部が停止する可能性があります。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 4, 2026, midnight |
| Registration Date | June 9, 2026, 2:10 p.m. |
| Last Update | June 9, 2026, 2:10 p.m. |
| CVSS3.0 : 重要 | |
| Score | 7.3 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
| RRWO (Robert Rothenberg) |
| Net::CIDR::Set 0.21 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月09日] 掲載 |
June 9, 2026, 2:10 p.m. |
| Summary | Net::CIDR::Set versions through 0.20 for Perl did not validate network masks. The mask portion of a network mask could contain Unicode digits such as the Arabic-Indic One (U+0661), or non-digits, which were ignored. This could allow network masks to accept larger networks. Leading zeros were also accepted, but treated as decimal instead of octal. This could lead to confusion about what networks are acceptable. |
|---|---|
| Publication Date | June 5, 2026, 2:16 a.m. |
| Registration Date | June 5, 2026, 4:11 a.m. |
| Last Update | June 9, 2026, 1:37 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:rrwo:net\:\:cidr\:\:set:*:*:*:*:*:perl:*:* | 0.21 | ||||