つみかさね

CVE-2026-11527

High(8.6)

CVE-2026-11527 — Perl Config::IniFiles OS コマンドインジェクション

公開日: 2026-06-21データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Config::IniFilesShlomi Fish (CPAN)< 3.001000

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1Config::IniFiles のバージョンを確認する(perl -MConfig::IniFiles -e 'print $Config::IniFiles::VERSION')
  2. 2cpanm Config::IniFiles を実行して最新版(3.001000 以降)へアップデートする
  3. 3-file 引数に外部入力を渡している箇所がないかコードを確認する

影響対象

Config::IniFiles を使用する Perl アプリケーション(外部入力を -file 引数に渡す場合)

補足

  • -Perl の 2引数 open() は意図せずコマンドインジェクションを引き起こすことがあります。-file 引数への入力はホワイトリストで検証することを推奨します
CVEPerlConfig::IniFilesコマンドインジェクションファイル上書き

概要

Perl モジュール Config::IniFiles のバージョン 3.001000 未満において、-file 引数の処理に脆弱性が確認されました。

Config::IniFiles の内部関数 _make_filehandle は、ファイル名引数を Perl の2引数 open() で開きます。この形式では、ファイル名の先頭または末尾にパイプ(| cmdcmd |)、またはリダイレクト(> path>> path)が含まれている場合、Perl はそれをファイルとして開かずにコマンドとして実行または書き込み先として処理します。

この _make_filehandlenew(-file => $thing)ReadConfig 処理から到達できるため、-file 引数に信頼できない入力を渡すアプリケーションでは OS コマンドインジェクションまたは任意ファイルの上書きが発生します。

なお、インメモリスカラー参照(-file => \$text)はパスを開かないため影響を受けません。

CVSSベクトル

指標
攻撃ベクトル(AV)ネットワーク (N)
攻撃複雑度(AC)低 (L)
必要権限(PR)不要 (N)
ユーザー操作(UI)不要 (N)
スコープ(S)変更あり (C)
機密性(C)高 (H)
完全性(I)高 (H)
可用性(A)低 (L)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Config::IniFilesShlomi Fish (CPAN)3.001000 未満

修正バージョンと回避策

修正バージョン: Config::IniFiles 3.001000

推奨対応:

  • CPAN / cpanm で Config::IniFiles を 3.001000 以降へ更新する
  • Debian LTS 向けパッチも提供されています
  • -file 引数に外部入力を渡す場合は、パイプやリダイレクト文字を含まないか検証するか、スカラー参照(\$text)を使用する

関連リンク

データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-11527
OSS Security:http://www.openwall.com/lists/oss-security/2026/06/14/5
Debian LTS:https://lists.debian.org/debian-lts-announce/2026/06/msg00026.html
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。