Katalog CVE

CVE-2026-11702

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 21 — wyżej niż 21% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece Bytes::Random::Secure::Tiny dla Perla (wersje do 1.011) powoduje współdzielenie wewnętrznego stanu generatora liczb losowych (PRNG) pomiędzy procesami potomnymi po wykonaniu fork(). Jeśli obiekt zostanie zainicjalizowany przed forkiem, wszystkie procesy będą produkować identyczne ciągi losowe.

Ocena ryzyka

Tajne dane (np. tokeny, klucze kryptograficzne) generowane w aplikacjach wieloprocesowych stają się przewidywalne, co umożliwia atakującemu odtworzenie sekretów i naruszenie bezpieczeństwa systemu.

Rekomendacja

Należy zaktualizować bibliotekę Bytes::Random::Secure::Tiny do wersji nowszej niż 1.011 lub zainicjalizować obiekt PRNG po wykonaniu fork(), aby każdy proces miał niezależny stan.

Oryginalny opis (angielski, źródło NVD)

Bytes::Random::Secure::Tiny versions through 1.011 for Perl share internal state across forked processes. When an object is initialised before forking, then the internal state for the PRNG is shared across processes and identical random streams will be produced. Secrets generated in multiprocess applications are predictable across processes.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS