CVE-2011-1487

The (1) lc, (2) lcfirst, (3) uc, and (4) ucfirst functions in Perl 5.10.x, 5.11.x, and 5.12.x through 5.12.3, and 5.13.x through 5.13.11, do not apply the taint attribute to the return value upon processing tainted input, which might allow context-dependent attackers to bypass the taint protection mechanism via a crafted string.

Published: Apr 11, 2011
Updated: Nov 9, 2025
CVE: CVE-2011-1487
Severity: Medium
Exploit:

CVSS v2:

Severity: Medium
Score: 5
AV:N/AC:L/Au:N/C:N/I:P/A:N

CWEs:

CWE-264

Affected Software
References

Software	From	Fixed in
perl / perl	5.10.0-rc2	5.10.0-rc2.x
perl / perl	5.10.1	5.10.1.x
perl / perl	5.10.1-rc1	5.10.1-rc1.x
perl / perl	5.10.0	5.10.0.x
perl / perl	5.10.0-rc1	5.10.0-rc1.x
perl / perl	5.10.1-rc2	5.10.1-rc2.x
perl / perl	5.13.10	5.13.10.x
perl / perl	5.13.8	5.13.8.x
perl / perl	5.13.0	5.13.0.x
perl / perl	5.13.5	5.13.5.x
perl / perl	5.13.3	5.13.3.x
perl / perl	5.13.6	5.13.6.x
perl / perl	5.13.11	5.13.11.x
perl / perl	5.13.7	5.13.7.x
perl / perl	5.13.1	5.13.1.x
perl / perl	5.13.4	5.13.4.x
perl / perl	5.13.9	5.13.9.x
perl / perl	5.13.2	5.13.2.x
perl / perl	5.11.2	5.11.2.x
perl / perl	5.11.1	5.11.1.x
perl / perl	5.11.5	5.11.5.x
perl / perl	5.11.0	5.11.0.x
perl / perl	5.11.3	5.11.3.x
perl / perl	5.11.4	5.11.4.x
perl / perl	5.12.0-rc1	5.12.0-rc1.x
perl / perl	5.12.0-rc4	5.12.0-rc4.x
perl / perl	5.12.0-rc3	5.12.0-rc3.x
perl / perl	5.12.1-rc1	5.12.1-rc1.x
perl / perl	5.12.3-rc3	5.12.3-rc3.x
perl / perl	5.12.3	5.12.3.x
perl / perl	5.12.1-rc2	5.12.1-rc2.x
perl / perl	5.12.0-rc2	5.12.0-rc2.x
perl / perl	5.12.0	5.12.0.x
perl / perl	5.12.3-rc1	5.12.3-rc1.x
perl / perl	5.12.2	5.12.2.x
perl / perl	5.12.3-rc2	5.12.3-rc2.x
perl / perl	5.12.2-rc1	5.12.2-rc1.x
perl / perl	5.12.0-rc0	5.12.0-rc0.x
perl / perl	5.12.0-rc5	5.12.0-rc5.x
perl / perl	5.12.1	5.12.1.x

Vulnerability Database

309,961

CVE-2011-1487

Deep Security Visibility Without the Complexity