Vulnerabilidad en CPANSec (CVE-2020-36846)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/05/2025
Última modificación:
30/05/2025
Descripción
Existe un desbordamiento de búfer, como se describe en CVE-2020-8927, en la librería Brotli integrada. Las versiones de IO::Compress::Brotli anteriores a la 0.007 incluían una versión de la librería Brotli anterior a la 1.0.8, donde un atacante que controle la longitud de entrada de una solicitud de descompresión única a un script puede provocar un fallo, lo cual ocurre al copiar fragmentos de datos de más de 2 GiB. Se recomienda actualizar el módulo IO::Compress::Brotli a la versión 0.007 o posterior. Si no se puede actualizar, recomendamos usar la API de streaming en lugar de la API única e imponer límites de tamaño de fragmentos.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Referencias a soluciones, herramientas e información
- https://github.com/advisories/GHSA-5v8v-66v8-mwm7
- https://github.com/google/brotli/commit/223d80cfbec8fd346e32906c732c8ede21f0cea6
- https://github.com/google/brotli/pull/826
- https://github.com/timlegge/perl-IO-Compress-Brotli/blob/8b44c83b23bb4658179e1494af4b725a1bc476bc/Changes#L52
- https://nvd.nist.gov/vuln/detail/CVE-2020-8927