無料スキャン
分析待ちCVE-2026-8463

CVE-2026-8463: Heap Out-of-Bounds Read in Crypt::Argon2 0.017–0.031

プラットフォーム

perl

コンポーネント

crypt-argon2

修正版

0.031

NVDで見る
保存

CVE-2026-8463 は、Crypt::Argon2 バージョン 0.017 から 0.031 までの範囲に存在するヒープオーバーリードの脆弱性です。この脆弱性は、argon2_verify 関数が空のエンコードされた入力に対して実行された場合に発生し、メモリを不正に読み取り、情報漏洩やコード実行につながる可能性があります。脆弱性は 2026年5月13日に公開され、バージョン 0.031 で修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者が機密情報を盗み出したり、システムを制御したりする可能性を示唆しています。攻撃者は、空のエンコードされた入力を argon2_verify 関数に渡すことで、メモリ内の機密情報を読み取ることができます。また、メモリの内容を改ざんすることで、コード実行を試みたり、システムをクラッシュさせたりする可能性もあります。この脆弱性は、特にパスワードハッシュの検証に使用される環境において、深刻なリスクとなります。

悪用の状況

この脆弱性は、公開されており、攻撃者が容易に悪用できる可能性があります。KEVやEPSSの評価はまだ公開されていません。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、公開されているため、今後悪用される可能性は否定できません。NVDおよびCISAの情報を定期的に確認し、最新の情報を入手するようにしてください。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
レポート1 脅威レポート

影響を受けるソフトウェア

コンポーネントcrypt-argon2
ベンダーLEONT
最小バージョン0.017
最大バージョン0.031
修正版0.031

弱点分類 (CWE)

CWE-126CWE-191

タイムライン

  1. 予約済み
  2. 公開日

緩和策と回避策

この脆弱性への対応策として、Crypt::Argon2をバージョン 0.031 以降に更新することを推奨します。更新が困難な場合は、入力検証を強化し、argon2_verify 関数に渡される入力が空でないことを確認してください。また、パスワードハッシュの検証に使用される環境では、追加のセキュリティ対策を講じることを検討してください。更新後、Crypt::Argon2の正常な動作を確認し、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

Actualice el módulo Crypt::Argon2 a la versión 0.031 o superior para corregir la vulnerabilidad de lectura fuera de límites en la memoria del heap.  Esto se puede hacer utilizando el gestor de paquetes cpan (cpan Crypt::Argon2) o mediante el sistema de gestión de dependencias de su proyecto.

よくある質問

CVE-2026-8463 — Heap Out-of-Bounds Read in Crypt::Argon2 0.017–0.031 とは何ですか?

CVE-2026-8463 は、Crypt::Argon2 0.017–0.031 の argon2_verify 関数におけるヒープオーバーリードの脆弱性で、空のエンコードされた入力に対して実行されると、メモリを不正に読み取り、情報漏洩やコード実行につながる可能性があります。

CVE-2026-8463 in Crypt::Argon2 0.017–0.031 に影響を受けますか?

Crypt::Argon2 バージョン 0.017 から 0.031 までの範囲を使用している場合は、影響を受けます。バージョン 0.031 以降に更新してください。

CVE-2026-8463 in Crypt::Argon2 0.017–0.031 をどのように修正しますか?

Crypt::Argon2をバージョン 0.031 以降に更新してください。更新が困難な場合は、入力検証を強化してください。

CVE-2026-8463 は積極的に悪用されていますか?

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、公開されているため、今後悪用される可能性は否定できません。

CVE-2026-8463 のための公式Crypt::Argon2アドバイザリはどこで入手できますか?

公式アドバイザリは、Crypt::Argon2のプロジェクトウェブサイトまたは関連するセキュリティ情報源で確認してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...