CVE-2026-48959

DEB

Высокий

IO:::Uncompress::Unzip версии до 2.220 для Perl позволяют исчерпать процессор через цикл чтения с проибо в fastForward. fastForward() сравн…

CVSS

7.5

Высокий

EPSS

0.00

p30

Опубликовано

2026-01-01

Обновлено

2026-01-01

Описание

IO:::Uncompress::Unzip версии до 2.220 для Perl позволяют исчерпать процессор через цикл чтения с проибо в fastForward. fastForward() сравнивает длину $offset (цифровое количество офсета, от 1 до 19) с размером $c вместо самого $c, поэтому $c сокращается с 16 KiB до 1-19 байт за итерацию. Извлечение именованной записи от злоумышленника, поставляемого на молнии через IO::Uncompress::Unzip->new($zip, Имя => $target) приводит в движение цикл считыванием сжатым размером записи до не-Zip64 4 GiB.

Теги · CWE

Без аутентификации

CWE-407

Затронутые продукты

Libio-compress-perlPerl

Вектор CVSS

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Хронология

2026-01-01

Опубликована

2026-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: L

Низкая (L)

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: U

Неизменная (U)

Воздействие на конфиденциальность

C: N

Отсутствует (N)

Воздействие на целостность

I: N

Отсутствует (N)

Воздействие на доступность

A: H

Высокое (H)

Индикаторы эксплуатации

EPSS

0.004 · p30

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

Проверок Сканер-ВС для этой уязвимости в базе пока нет.

Затронутые продукты

Debian

Perl Libio-compress-perl

Продукт	Вендор	Статус
libio-compress-perl		Отслеживается
perl		Отслеживается

Источники данных

DEB

Внешние ссылки

https://github.com/pmqs/IO-Compress/commit/68db44076f4c1a86a2ffe53a958eac6cabaf72e2.patch@https://metacpan.org/release/PMQS/IO-Compress-2.220/changes@http://www.openwall.com/lists/oss-security/2026/05/27/2