JVNDB-2026-012188 | |
Stig (stigtsp)のNet::CIDR::Liteにおける入力の構文的正当性の検証に関する脆弱性 | |
| 概要 | |
Perl用Net::CIDR::Liteのバージョン0.23未満には、IPv6のグループ数を検証しないため、IP ACLのバイパスを許す可能性がある脆弱性があります。_pack_ipv6()関数は、圧縮されていないIPv6アドレス(::なし)が正確に8つの16進数グループを持つかどうかをチェックしません。例えば、"abcd"、"1:2:3"、"1:2:3:4:5:6:7"のような入力が受け入れられ、誤った長さ(3、7、または15バイトで、正しいのは17バイト)のパック値が生成されます。これらのパック値は内部でマスクや比較操作に使用され、find()およびbin_find()関数はそれらの値に対してPerlの文字列比較(lt/gt)を行うため、異なる長さの文字列を比較すると誤った結果が生じます。これにより、find()関数はアドレスが範囲内または範囲外であると誤って報告する可能性があります。例えば、my $cidr = Net::CIDR::Lite-new("::/8"); $cidr-find("1:2:3");は無効な入力ですが誤ってtrueを返します。この問題は、以前にこのモジュールで修正されたIPv4の先頭ゼロに関する入力検証問題と同様の入力検証問題です。同じ関数でIPv4マップドIPv6アドレスに影響する関連問題も存在します。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 7.5 (重要) [その他]
| |
| 影響を受けるシステム | |
|
| |
Stig (stigtsp) | |
|
| |
| 想定される影響 | |
当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 | |
| 対策 | |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
|
| |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
|
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/04/10 |
| 登録日 | 2026/04/23 |
| 最終更新日 | 2026/04/23 |
