概要
Perl の XML パース ライブラリ XML::Parser に おいて、UTF-8 PerlIO レイヤー を 使用 して いる 場合 に ヒープ ベース の バッファ オーバーフロー が 発生 する 脆弱性 が 存在 します。CWE-122(ヒープベースのバッファオーバーフロー)および CWE-176(不適切なUnicodeエンコーディング処理)に 分類 されます。
UTF-8 エンコーディング の 処理 過程 で バッファ サイズ の 計算 が 不正確 と なり、ヒープ 領域 の 境界 を 超えた 書き込み が 発生 します。細工 された XML データ に より、サービス 拒否 や 潜在的 な コード 実行 の 可能性 が あります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.5 (High) |
| CWE | CWE-122(ヒープベースのバッファオーバーフロー) / CWE-176(不適切なUnicodeエンコーディング処理) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 不要 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
- XML::Parser(2.45 以前)
修正バージョンと回避策
- 修正バージョン: XML-Parser 2.46
- 暫定回避策: UTF-8 PerlIO レイヤー を 使用 せず に バイナリ モード で ファイル を 読み込む。信頼 できない XML 入力 の サイズ を 制限
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。