漏洞概述 漏洞名称: 混合固定注入 (Mixed Fixed Injection) CVE编号: CVE-2026-00000000 发布日期: 2026-05-21 21:53:21+01:00 Europe/London 影响范围 受影响模块: Mojolicious-Plugin-Statsd 受影响版本: 0.06 修复方案 修复版本: 0.06 修复内容: 修复了混合固定注入漏洞 (CVE-2026-00000000) POC代码或利用代码 页面中未提供具体的POC代码或利用代码。 其他信息 新增功能: - 使用Net::Statsd::Tiny处理statsd协议 - 添加了客户端属性以选择任何状态客户端 文档更新: - 新维护者: Robert Rothenberg - 更新了版权年份 - 添加了安全政策 - 添加了SECURITY CONSIDERATIONS部分 - 使用Pod::Weaver - 添加了doap.xml元数据 不兼容变更: - 最低Perl版本为v5.10(与当前Mojolicious相同) 历史版本变更 0.04 (2019-05-02T03:50:11): - 使5.10兼容 - 直到5.14没有包BLOCK 0.03 (2019-04-29T04:05:47Z): - 初始化变更 - 添加gauge和set_add方法 0.02 (2019-04-28T23:46:42Z): - 修复样本率记录 - 更新POD - 发送样本率与指标 - 整理 - 重命名update_stats为counter,以匹配其他实现 - 重命名add_prefix为counter,以匹配其他实现 - 删除configure方法 - 更新文档,删除PodWeaver - 转换为dist - 重命名Mojolicious - 仅使用add和check STATS_ADDER before default - 处理未初始化(拒绝)结果从UDP到Mojolicious - 让我们使用warn而不是carp - 检查套接字是否已打开 - 避免套接字常量导入 - 删除适配器基类 - 更改默认适配器到Statsd(localhost:8125) - 添加缺失的Time::HiRes导入用于列出cuberef 0.01 (2019-04-26T06:53:03Z): - 简化arg处理 - 不要加载适配器:Memory如果不需要 - 修复编号列表 - 添加许可证 - 添加readme - 使用相同的arg样式 everywhere - 添加适配器抽象文档 - 进一步文档 - 重命名config为configure,不存储配置 anymore,make chainable - Synopsis工作 - 添加插件config,pass config thru to adapters - 测试:Mojo不必要 here - 捆绑指标在相同的udp packet,test - 实现基本方法的stats插件 itself,add tests - 适配器应该总是期望名字在arrayref;drop inc/decrement from interface - 设置statsd协议的正确 way - 添加适配器:Statsd - 初始提交 总结 该页面主要介绍了Mojolicious-Plugin-Statsd模块的0.06版本中修复了一个混合固定注入漏洞(CVE-2026-00000000)。此外,还列出了该版本的新增功能、文档更新、不兼容变更以及历史版本的详细变更日志。页面中未提供具体的POC代码或利用代码。