製品・ソフトウェアに関する情報

JVN脆弱性詳細

Steve SanbegのEtsy::StatsDにおけるCRLF インジェクションの脆弱性

Title	Steve SanbegのEtsy::StatsDにおけるCRLF インジェクションの脆弱性
Summary	Etsy::StatsDのPerl向けバージョン1.002002までには、メトリクスのインジェクションを許す脆弱性があります。メトリクス名と値に改行、コロン、パイプがチェックされていません。信頼できないソースから生成されたメトリクスは、追加のstatsdメトリクスを注入する可能性があります。なお、gitリポジトリには、ゲージおよびセットメソッドでも潜在的なメトリクスインジェクションをチェックしない未リリース版が含まれていることに注意が必要です。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 4, 2026, midnight
Registration Date	June 9, 2026, 2:10 p.m.
Last Update	June 9, 2026, 2:10 p.m.

Affected System

Steve Sanbeg

Etsy::StatsD 1.002002 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-46719	https://www.cve.org/CVERecord?id=CVE-2026-46719
2	CVE-2026-46720	https://www.cve.org/CVERecord?id=CVE-2026-46720
3	CVE-2026-46741	https://www.cve.org/CVERecord?id=CVE-2026-46741
National Vulnerability Database (NVD)
4	CVE-2026-46741	https://nvd.nist.gov/vuln/detail/CVE-2026-46741

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-93	https://cwe.mitre.org/data/definitions/93.html

Change Log

No	Changed Details	Date of change
1	[2026年06月09日] 掲載	June 9, 2026, 2:10 p.m.

NVD Vulnerability Information

CVE-2026-46719

Summary	Net::Statsd::Lite versions before 0.9.0 for Perl allowed metric injections. The metric names were not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics.
Publication Date	May 16, 2026, 11:16 p.m.
Registration Date	May 17, 2026, 4:14 a.m.
Last Update	May 19, 2026, 11:16 p.m.

Related information, measures and tools

No	URL	refsource
1	https://github.com/robrwo/Net-Statsd-Lite/commit/e1a8ab866d75c2827982134e9cf7e51a7f771153.patch	9b29abf9-4ab0-4765-b253-1875cd9b441e
2	https://metacpan.org/release/RRWO/Net-Statsd-Lite-v0.9.0/changes	9b29abf9-4ab0-4765-b253-1875cd9b441e
3	http://www.openwall.com/lists/oss-security/2026/05/16/9	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-93	CRLF インジェクション	https://cwe.mitre.org/data/definitions/93.html

CVE-2026-46720

Summary	Net::Statsd::Tiny versions before 0.3.8 for Perl allowed metric injections. The metric names and set values were not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics.
Publication Date	May 18, 2026, 3:16 a.m.
Registration Date	May 18, 2026, 4:11 a.m.
Last Update	May 19, 2026, 2:40 a.m.

Related information, measures and tools

No	URL	refsource
1	https://github.com/robrwo/Net-Statsd-Tiny/commit/06f814f52fbcc0b2afddf7a2d6f8137fd3cede13.patch	9b29abf9-4ab0-4765-b253-1875cd9b441e
2	https://metacpan.org/release/RRWO/Net-Statsd-Tiny-v0.3.8/changes	9b29abf9-4ab0-4765-b253-1875cd9b441e
3	https://www.cve.org/CVERecord?id=CVE-2026-46719	9b29abf9-4ab0-4765-b253-1875cd9b441e

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-93	CRLF インジェクション	https://cwe.mitre.org/data/definitions/93.html

CVE-2026-46741

Summary	Etsy::StatsD versions through 1.002002 for Perl allow metric injections. The metric names and values are not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics. Note that the git repository contains an unreleased version with the gauge and set methods that also do not check for potential metric injections.
Publication Date	June 5, 2026, 2:16 a.m.
Registration Date	June 5, 2026, 4:11 a.m.
Last Update	June 9, 2026, 1:33 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:sanbeg:etsy\:\:statsd::::::perl::*			1.002002

Related information, measures and tools

No	URL	refsource	タグ
1	https://www.cve.org/CVERecord?id=CVE-2026-46719	9b29abf9-4ab0-4765-b253-1875cd9b441e
2	https://www.cve.org/CVERecord?id=CVE-2026-46720	9b29abf9-4ab0-4765-b253-1875cd9b441e

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-93	CRLF インジェクション	https://cwe.mitre.org/data/definitions/93.html