中危 Perl 安全漏洞(CVE-2023-47100)

CVE编号

CVE-2023-47100

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-12-03
漏洞描述
在Perl的regcomp.c文件中,S_parse_uniprop_string函数存在漏洞,因为无法正确处理与\p{...}正则表达式构造相关联的属性名称,导致可以向未分配的空间进行写入操作。受影响的最早版本是5.30.0。
解决建议
"将组件 perl 升级至 5.38.2 及以上版本"
参考链接
https://github.com/Perl/perl5/commit/12c313ce49b36160a7ca2e9b07ad5bd92ee4a010
https://github.com/Perl/perl5/commit/7047915eef37fccd93e7cd985c29fe6be54650b6
https://github.com/Perl/perl5/commit/ff1f9f59360afeebd6f75ca1502f5c3ebf077da3
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 perl perl * From
(including)
5.30.0 		Up to
(excluding)
5.38.2
阿里云评分
6.7
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-755 对异常条件的处理不恰当
阿里云安全产品覆盖情况