CRITICAL🇬🇧 English

CVE-2026-11362

DataDog::DogStatsd dla Perl – podatność na metric injection przez tagi zdarzeń

CVSS 9.8pub. 2026-06-05upd. 2026-06-10

Biblioteka DataDog::DogStatsd w wersjach do 0.07 dla języka Perl nie waliduje poprawnie danych wejściowych w tagach zdarzeń, co umożliwia wstrzyknięcie złośliwych metryk. Podatność jest krytyczna, ponieważ atakujący może manipulować danymi telemetrycznymi bez uwierzytelnienia, zdalnie przez sieć.

Pokaż oryginał (EN)

DataDog::DogStatsd versions through 0.07 for Perl allow metric injections from event tags. DataDog::DogStatsd does not properly sanitise input, allowing metric injections of data from untrusted sources. The format_event method (used by the event method) does not validate the content of the tags, which may contain commas (allowing tags to be injected) or newlines, pipes and colons that allow metric injections. (There is an ineffective s/|//g to remove pipes, but because the pipe is not escaped, it is interpreted as a regular expression metacharacter and has no effect.)

🤖 Analiza AI
Jak działa

Metoda format_event (wywoływana przez metodę event) nie weryfikuje zawartości tagów przekazywanych przez użytkownika. Tagi mogą zawierać przecinki (umożliwiające wstrzyknięcie dodatkowych tagów), a także znaki nowej linii, pipe'y i dwukropki, które pozwalają na wstrzyknięcie dowolnych metryk do strumienia StatsD. Próba usunięcia znaków pipe za pomocą wyrażenia s/|//g jest nieskuteczna, ponieważ znak pipe nie jest w niej odpowiednio zaescapowany i jest traktowany jako metaznak wyrażenia regularnego, przez co operacja podstawienia nie wywiera żadnego efektu.

Skutki

Atakujący mogący dostarczyć dane do tagów zdarzeń (np. z niezaufanych źródeł) może wstrzyknąć dowolne metryki i tagi, manipulując danymi monitoringu oraz potencjalnie naruszając integralność i poufność zbieranych danych telemetrycznych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako obejście należy ograniczyć przyjmowanie danych z niezaufanych źródeł jako tagów zdarzeń oraz ręcznie sanityzować dane wejściowe przed przekazaniem ich do metody event.

Kogo dotyczy

DataDog::DogStatsd dla Perl w wersjach do 0.07 włącznie

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Binary Datadog\

    APP
    Binary
    \
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-9270CRITICAL9.1PL ✓ten sam produkt

DataDog::DogStatsd dla Perl — metric injection poprzez brak sanityzacji danych wejściowych

CVE-2026-11362 — DataDog::DogStatsd dla Perl – podatność na metric injection przez tagi zdarzeń — CRITICAL 9.8 | CVEbaza.pl