Perl 是一种通用且广泛使用的编程语言，几十年来一直是开发人员工具包的中流砥柱。然而，像任何软件一样，Perl 也不能免受漏洞的影响。最近，发现了两个严重的安全漏洞在 Perl 中，影响版本 5.30.0 到 5.38.0。

CVE-2023-47038：写入过去缓冲区结束漏洞

第一个漏洞CVE-2023-47038 源于 Perl 处理用户定义的 Unicode 属性时的缺陷。特制的正则表达式可以触发一字节缓冲区溢出，从而允许攻击者将恶意代码注入堆分配的缓冲区中。此漏洞可能会导致任意代码执行，从而使攻击者能够完全控制受影响的系统。

CVE-2023-47039：用于 Windows 二进制劫持的 Perl

第二个漏洞 CVE-2023-47039 特别影响 Windows 安装的 Perl。Perl 依赖系统路径环境变量来定位执行程序的 shell (cmd.exe)。但是，由于路径搜索顺序问题，Perl 首先在当前工作目录中搜索 cmd.exe，然后再检查系统路径。

攻击者可以通过将恶意 cmd.exe 文件放置在权限较弱的位置（例如 C:\ProgramData）来利用此行为。当管理员从此受感染位置执行可执行文件时，将使用恶意 cmd.exe 文件而不是合法文件，从而允许攻击者以提升的权限执行任意代码。