Vulnerabilidad en XML::Parser de TODDR (CVE-2006-10002)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-122
Desbordamiento de búfer basado en memoria dinámica (Heap)
Fecha de publicación:
19/03/2026
Última modificación:
23/03/2026
Descripción
Las versiones de XML::Parser hasta la 2.47 para Perl podrían desbordar el tamaño del búfer preasignado, causando una corrupción de la pila (doble liberación o corrupción) y fallos.<br />
<br />
Una capa PerlIO :utf8, parse_stream() en Expat.xs, podría desbordar el búfer de entrada XML porque la función read() de Perl devuelve caracteres decodificados mientras que SvPV() devuelve bytes UTF-8 multibyte que pueden exceder el tamaño del búfer preasignado. Esto puede causar corrupción de la pila (doble liberación o corrupción) y fallos.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:toddr:xml\:\:parser:*:*:*:*:*:perl:*:* | 2.48 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/cpan-authors/XML-Parser/commit/56b0509dfc6b559cd7555ea81ee62e3622069255.patch
- https://github.com/cpan-authors/XML-Parser/issues/64
- https://metacpan.org/release/TODDR/XML-Parser-2.46/changes
- https://rt.cpan.org/Ticket/Display.html?id=19859
- http://www.openwall.com/lists/oss-security/2026/03/19/1
- http://www.openwall.com/lists/oss-security/2026/03/22/3