Vulnerabilidad en GRID::Machine de CASIANO (CVE-2026-4851)

Las versiones de GRID::Machine hasta la 0.127 para Perl permiten ejecución de código arbitrario a través de deserialización insegura.<br /> <br /> GRID::Machine proporciona Llamadas a Procedimientos Remotos (RPC) sobre SSH para Perl. El cliente se conecta a hosts remotos para ejecutar código en ellos. Un host remoto comprometido o malicioso puede ejecutar código arbitrario de vuelta en el cliente a través de deserialización insegura en el protocolo RPC.<br /> <br /> read_operation() en lib/GRID/Machine/Message.pm deserializa valores del lado remoto usando eval()<br /> <br /> $arg .= &amp;#39;$VAR1&amp;#39;;<br /> my $val = eval "no strict; $arg"; # línea 40-41<br /> <br /> $arg son bytes en bruto de la tubería del protocolo. Un host remoto comprometido puede incrustar Perl arbitrario en la respuesta con formato Dumper:<br /> <br /> $VAR1 = do { system("..."); };<br /> <br /> Esto se ejecuta en el cliente silenciosamente en cada llamada RPC, ya que los valores de retorno permanecen correctos.<br /> <br /> Esta funcionalidad es intencional, pero el requisito de confianza para el host remoto no está documentado en la distribución.