BSON::XS w wersjach 0.8.4 i wcześniejszych dla Perl zawiera dołączoną bibliotekę libbson 1.1.7, która posiada wiele znanych podatności krytycznych. Komponent ten jest szczególnie niebezpieczny, ponieważ dystrybucja osiągnęła koniec życia (end of life) w sierpniu 2020 roku i nie otrzymuje już żadnych aktualizacji bezpieczeństwa.
▸ Pokaż oryginał (EN)
BSON::XS versions 0.8.4 and earlier for Perl includes a bundled libbson 1.1.7, which has several vulnerabilities. Those include CVE-2017-14227, CVE-2018-16790, CVE-2023-0437, CVE-2024-6381, CVE-2024-6383, and CVE-2025-0755. BSON-XS was the official Perl XS implementation of MongoDB's BSON serialization, but this distribution has reached its end of life as of August 13, 2020 and is no longer supported.
Podatność wynika z dołączenia przestarzałej wersji biblioteki libbson 1.1.7 bezpośrednio do pakietu BSON::XS (CWE-1104 — użycie nieobsługiwanego komponentu trzeciej strony). Biblioteka ta zawiera błędy klasy heap buffer overflow (CWE-122) oraz przepełnienia liczb całkowitych (CWE-190), sklasyfikowane jako CVE-2017-14227, CVE-2018-16790, CVE-2023-0437, CVE-2024-6381, CVE-2024-6383 oraz CVE-2025-0755. Atakujący może dostarczyć specjalnie spreparowane dane BSON, które wywołają podatne ścieżki kodu w bibliotece libbson podczas deserializacji.
Wykorzystanie podatności może umożliwić atakującemu zdalne wykonanie kodu (RCE), ujawnienie poufnych danych lub doprowadzenie do awarii aplikacji — wszystko bez konieczności uwierzytelnienia i interakcji użytkownika, co potwierdza wektor CVSS AV:N/AC:L/PR:N/UI:N.
Brak dostępnych aktualizacji — dystrybucja BSON::XS osiągnęła koniec życia 13 sierpnia 2020 roku i nie jest już wspierana. Zaleca się natychmiastowe zaprzestanie używania tego pakietu i migrację do alternatywnych, aktywnie utrzymywanych bibliotek obsługujących BSON dla Perl. Należy zapoznać się z referencjami producenta wskazanymi w opisie podatności.
BSON::XS w wersji 0.8.4 i wcześniejszych dla Perl zawierający dołączoną bibliotekę libbson 1.1.7
Dystrybucja BSON::XS osiągnęła oficjalny koniec życia (end of life) 13 sierpnia 2020 roku i nie będą wydawane żadne patche. Podatność agreguje sześć odrębnych CVE w dołączonej bibliotece libbson 1.1.7: CVE-2017-14227, CVE-2018-16790, CVE-2023-0437, CVE-2024-6381, CVE-2024-6383, CVE-2025-0755.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H