つみかさね

CVE-2026-10879

Critical(9.8)

CVE-2026-10879 — Perl DBI ヒープバッファオーバーフロー脆弱性

公開日: 2026-06-10データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
DBIPerl / HMBRAND< 1.648

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Perl DBIのバージョンを確認する(perl -MDBI -e 'print $DBI::VERSION')
  2. 21.648未満の場合はcpanmまたはcpanでDBI 1.648以降へアップデートする
  3. 3アップデート後にアプリケーションの動作確認を行う

影響対象

Perl DBI利用者DBIを使用するPerlアプリケーション開発者

補足

  • -パッケージマネージャー(apt, yum等)経由でインストールしている場合はOSパッケージのアップデートも確認してください
CVEPerlDBIヒープオーバーフローSQLインジェクション

概要

Perl用データベースインターフェースモジュール(DBI)のバージョン1.648未満に、ヒープバッファオーバーフロー脆弱性(CWE-787)が存在します。

preparseメソッドはSQLのプレースホルダー文字(?)を番号付きバインダー形式(:p1, :p2 等)に展開しますが、バッファ確保サイズがバインダー1個につき3文字固定となっています。バインダー番号が10〜99の場合は4文字、100〜999の場合は5文字が必要であるため、プレースホルダーが10個以上のSQLステートメントを処理した場合にヒープオーバーフローが発生します。

CVSSベクトル

属性
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
ScopeUnchanged
ConfidentialityHigh
IntegrityHigh
AvailabilityHigh
CVSSスコア9.8 (CRITICAL)

影響を受けるソフトウェア

製品影響バージョン修正バージョン
Perl DBI1.648未満1.648

プレースホルダーが10個以上のSQLをpreparseを通じて処理するアプリケーションが対象です。

修正バージョンと回避策

  • DBI 1.648 以降へアップデートする
  • cpanm DBI または cpan DBI でアップデート可能

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-10879
MetaCPAN:https://metacpan.org/release/HMBRAND/DBI-1.648/changes
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。