製品・ソフトウェアに関する情報
脆弱性検索
PEVANS (Paul Evans )のMetrics::Any::Adapter::Statsdにおける複数の脆弱性
タイトル PEVANS (Paul Evans )のMetrics::Any::Adapter::Statsdにおける複数の脆弱性
概要

Metrics::Any::Adapter::Statsd の Perl バージョン 0.04 未満には、メトリックインジェクションから保護されていない脆弱性があります。statsd プロトコル(およびその拡張)は、複数のメトリックを改行で区切ってパケットごとに送信することを許可しますが、send メソッドはメトリック名や値の内容を検証しません。メトリック名に改行や statsd の制御文字(コロン、パイプ)が含まれている場合、メトリックインジェクションが可能になります。バージョン 0.04 では、_make メソッドを修正し、ASCII 32 未満の文字(改行を含む)、コロン、パイプを含むメトリック名をブロックすることで、この問題を修正しました。

想定される影響 ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 
対策

ベンダ情報を参照して適切な対策を実施してください。

公表日 2026年6月10日0:00
登録日 2026年6月26日11:51
最終更新日 2026年6月26日11:51
CVSS3.0 : 重要
スコア 8.2
ベクター CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N
影響を受けるシステム
PEVANS (Paul Evans )
Metrics::Any::Adapter::Statsd 0.04 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
変更履歴
No 変更内容 変更日
1 [2026年06月26日]
  掲載		 2026年6月26日11:51
NVD脆弱性情報
CVE-2026-46719
概要

Net::Statsd::Lite versions before 0.9.0 for Perl allowed metric injections.

The metric names were not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics.

公表日 2026年5月16日23:16
登録日 2026年5月17日4:14
最終更新日 2026年5月19日23:16
関連情報、対策とツール
共通脆弱性一覧
CVE-2026-46720
概要

Net::Statsd::Tiny versions before 0.3.8 for Perl allowed metric injections.

The metric names and set values were not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics.

公表日 2026年5月18日3:16
登録日 2026年5月18日4:11
最終更新日 2026年5月19日2:40
関連情報、対策とツール
共通脆弱性一覧
CVE-2026-46739
概要

Net::Statsd versions before 0.13 for Perl allow metric injections.

The metric names are not checked for newlines, colons or pipes. Metrics generated from untrusted sources could inject additional statsd metrics.

The update_stats (used for updating counters) and gauge methods do not check that values are numeric (which would block metric injection).

公表日 2026年6月5日2:16
登録日 2026年6月5日4:11
最終更新日 2026年6月9日1:31
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:cosimo:net\:\:statsd:*:*:*:*:*:perl:*:* 0.13
関連情報、対策とツール
共通脆弱性一覧
CVE-2026-50637
概要

Metrics::Any::Adapter::Statsd versions before 0.04 for Perl does not protect against metric injections.

The statsd protocol (and extensions) allow mutiple metrics,separated by newlines, to be sent per packet.

The send method does not validate the contents of the metric names or values. If the names have newlines and statsd control characters (colon, pipe) then metric injections are possible.

Version 0.04 fixed this by modifying the _make method to block metric names with characters below ASCII 32 (which includes the newline), or colons or pipes.

公表日 2026年6月11日4:16
登録日 2026年6月12日4:16
最終更新日 2026年6月12日5:16
関連情報、対策とツール
共通脆弱性一覧
CVE-2026-50638
概要

Metrics::Any::Adapter::DogStatsd versions before 0.04 for Perl does not protect against metric injections.

The statsd protocol (and extensions such as dogstatsd) allow mutiple metrics,separated by newlines, to be sent per packet.

Metrics::Any::Adapter::DogStatsd which extends Metrics::Any::Adapter::Statsd, which has a similar vulnerability.

In addition, the _tags function does not check tags for newlines or statsd control characters. The tags can be used for metric injections.

公表日 2026年6月11日4:16
登録日 2026年6月12日4:16
最終更新日 2026年6月12日5:16
関連情報、対策とツール
共通脆弱性一覧
CVE-2026-50639
概要

Metrics::Any::Adapter::SignalFx versions before 0.04 for Perl does not protect against metric injections.

The statsd protocol (and extensions such as dogstatsd) allow mutiple metrics,separated by newlines, to be sent per packet.

Metrics::Any::Adapter::SignalFx which extends Metrics::Any::Adapter::Statsd, which has a similar vulnerability.

In addition, the _labels function does not check tags labels newlines or statsd control characters. The labels can be used for metric injections.

公表日 2026年6月11日4:16
登録日 2026年6月12日4:16
最終更新日 2026年6月11日5:19
関連情報、対策とツール
共通脆弱性一覧