Net::CIDR::Lite версии до 0.23 для Perl не подтверждает количество групп IPv6, что может позволить обойти ACL IP. _pack_ipv6() не проверяет…

Net::CIDR::Lite версии до 0.23 для Perl не подтверждает количество групп IPv6, что может позволить обойти ACL IP. _pack_ipv6() не проверяет, что несжатые IPv6 адреса (без ::) имеют ровно 8 групп. Принимаются такие входы, как «abcd», «1:2:2:3:3:3:5:7» и производят упакованные значения неправильной длины (3, 7 или 15 байтов вместо 17). Упакованные значения используются внутри для маски и операций сравнения. find() и bin_find() используют сравнение строк Perl (lt/gt) на этих значениях, а сравнение строк различной длины дает неправильные результаты. Это может привести к тому, что find() неправильно сообщить адрес как внутри или снаружи диапазона. Пример: мой $cidr = Net::CIDR::Lite->new(::/8"); $cidr->find("1:2:3"); # неверный ввод, неправильно возвращает истинный Это тот же класс вводной валидации, что и CVE-2021-47154 (IPv4 ведущие нули), ранее зафиксированный в этом модуле. См. также CVE-2026-40199, связанный с этим вопросом в той же функции, затрагивающей IPv4, отображаемую IPv6-адресами.