← voltar
CVE-2026-45191

Net::CIDR::Lite versions before 0.24 for Perl does not properly consider extraneous zero characters in CIDR mask values, which may allow IP ACL bypass

CVSS 6.5 MEDIUMEPSS 0.3%CWE-1289
Em resumo

Uma falha no Net::CIDR::Lite permite que invasores desviem controles de acesso por IP usando caracteres zero preenchidos na notação CIDR (como /00 em vez de /0). A biblioteca não valida adequadamente esses valores malformados, tratando-os como legítimos.

Detalhe técnico

O Net::CIDR::Lite anterior à versão 0.24 falha em normalizar valores de máscara CIDR com zeros iniciais excessivos, permitindo que um atacante crie blocos CIDR com notação preenchida (/00, /01) que interpretam identicamente a valores sem preenchimento, mas podem contornar validação de ACL. Isso permite bypass de controle de acesso baseado em IP onde regras de lista negra ou branca podem ser contornadas através de representações CIDR alternativas.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Net::CIDR::Lite versions before 0.24 for Perl does not properly consider extraneous zero characters in CIDR mask values, which may allow IP ACL bypass. Mask forms like "/00" and "/01" pass validation and parse to the same prefix as their unpadded value. See also CVE-2026-45190.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
Produtos afetados
STIGTSP · Net::CIDR::Lite

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/stigtsp/Net-CIDR-Lite/commit/24e2c439ec405e5256024b9acefd4f7008c5ed0c.patchhttps://metacpan.org/release/STIGTSP/Net-CIDR-Lite-0.24/changeshttps://www.cve.org/CVERecord?id=CVE-2026-45190