CRITICAL🇬🇧 English

CVE-2026-4176

Podatność zlib w module Compress::Raw::Zlib w Perl (CVE-2026-4176)

CVSS 9.8v3.1pub. 2026-03-29upd. 2026-04-22

Wiele wersji interpretera Perl zawiera moduł Compress::Raw::Zlib z wbudowaną, podatną wersją biblioteki zlib. Podatność jest sklasyfikowana jako krytyczna (CVSS 9.8) i może być wykorzystana zdalnie bez uwierzytelnienia.

Pokaż oryginał (EN)

Perl versions from 5.9.4 before 5.40.4-RC1, from 5.41.0 before 5.42.2-RC1, from 5.43.0 before 5.43.9 contain a vulnerable version of Compress::Raw::Zlib. Compress::Raw::Zlib is included in the Perl package as a dual-life core module, and is vulnerable to CVE-2026-3381 due to a vendored version of zlib which has several vulnerabilities, including CVE-2026-27171. The bundled Compress::Raw::Zlib was updated to version 2.221 in Perl blead commit c75ae9cc164205e1b6d6dbd57bd2c65c8593fe94.

🤖 Analiza AI
Jak działa

Moduł Compress::Raw::Zlib jest dostarczany jako wbudowany moduł rdzeniowy (dual-life core module) w pakiecie Perl i zawiera własną, dołączoną kopię biblioteki zlib. Ta dołączona wersja zlib jest podatna na CVE-2026-3381 oraz CVE-2026-27171, które obejmują szereg luk bezpieczeństwa. Poprawka polega na aktualizacji wbudowanego modułu Compress::Raw::Zlib do wersji 2.221.

Skutki

Atakujący zdalny, bez konieczności uwierzytelnienia, może doprowadzić do naruszenia poufności, integralności oraz dostępności systemu — potencjalnie uzyskując pełną kontrolę nad podatną aplikacją lub systemem.

Mitygacja

Należy zaktualizować Perl do wersji 5.40.4-RC1 lub nowszej (gałąź stable), 5.42.2-RC1 lub nowszej, bądź 5.43.9 lub nowszej (gałąź developerska). Alternatywnie, możliwa jest ręczna aktualizacja modułu Compress::Raw::Zlib do wersji 2.221 (commit c75ae9cc164205e1b6d6dbd57bd2c65c8593fe94). Szczegóły dostępne w referencjach producenta.

Kogo dotyczy

Perl w wersjach od 5.9.4 do (bez) 5.40.4-RC1, od 5.41.0 do (bez) 5.42.2-RC1 oraz od 5.43.0 do (bez) 5.43.9

Uwagi

Podatność wynika z zastosowania mechanizmu vendoringu — biblioteka zlib jest dołączona bezpośrednio do modułu Perl zamiast korzystać z biblioteki systemowej, co sprawia, że aktualizacja systemowego zlib nie usuwa podatności. Podatność powiązana z CVE-2026-3381 i CVE-2026-27171.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Perl

    APP
    Perl
    5.9.4 – 5.40.4 (bez)5.41.0 – 5.42.2 (bez)5.43.0 – 5.43.9 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-8376CRITICAL9.8PL ✓ten sam produkt

Heap buffer overflow w Perl przy kompilacji wyrażeń regularnych (32-bit)

CVE-2022-48522CRITICAL9.8ten sam produkt

In Perl 5.34.0, function S_find_uninit_var in sv.c has a stack-based crash that can lead to remote code execut...

CVE-2018-18311CRITICAL9.8ten sam produkt

Perl before 5.26.3 and 5.28.x before 5.28.1 has a buffer overflow via a crafted regular expression that trigge...

CVE-2018-18314CRITICAL9.8ten sam produkt

Perl before 5.26.3 has a buffer overflow via a crafted regular expression that triggers invalid write operatio...

CVE-2018-18313CRITICAL9.1ten sam produkt

Perl before 5.26.3 has a buffer over-read via a crafted regular expression that triggers disclosure of sensiti...