Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-8450 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-05-27 |
| Producent | Perl |
| Produkt | HTTP::Daemon |
| CVSS Score | 9.1 (Krytyczny) |
| EPSS Score | 0.1% (percentyl: 34%) |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
HTTP::Daemon w wersjach starszych niż 6.17 dla Perla umożliwia wstrzykiwanie poleceń systemu operacyjnego (OS command injection) przez send_file().
Funkcja send_file() otwiera swój argument tekstowy przy użyciu dwuargumentowej formy open() Perla. Forma dwuargumentowa interpretuje magiczne prefiksy: ’| cmd’ oraz ‘cmd |’ otwierają potok do podprocesu, a ’> path’ i ’>> path’ otwierają ścieżkę do zapisu lub dopisywania.
Niezaufane dane przekazane do send_file() mogą wykonać polecenia systemowe z uprawnieniami UID procesu demona. Forma odczytu z potoku (‘cmd |’) dodatkowo ujawnia standardowe wyjście podprocesu w treści odpowiedzi HTTP. Formy trybu zapisu mogą…
Wymagane działania
Zastosuj poprawki lub środki zaradcze producenta tak szybko, jak będą dostępne.
Kogo dotyczy?
Podatność dotyczy produktu HTTP::Daemon firmy Perl. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
