CVE-2026-11702
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 — wyżej niż 21% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece Bytes::Random::Secure::Tiny dla Perla (wersje do 1.011) powoduje współdzielenie wewnętrznego stanu generatora liczb losowych (PRNG) pomiędzy procesami potomnymi po wykonaniu fork(). Jeśli obiekt zostanie zainicjalizowany przed forkiem, wszystkie procesy będą produkować identyczne ciągi losowe.
Ocena ryzyka
Tajne dane (np. tokeny, klucze kryptograficzne) generowane w aplikacjach wieloprocesowych stają się przewidywalne, co umożliwia atakującemu odtworzenie sekretów i naruszenie bezpieczeństwa systemu.
Rekomendacja
Należy zaktualizować bibliotekę Bytes::Random::Secure::Tiny do wersji nowszej niż 1.011 lub zainicjalizować obiekt PRNG po wykonaniu fork(), aby każdy proces miał niezależny stan.
Oryginalny opis (angielski, źródło NVD)
Bytes::Random::Secure::Tiny versions through 1.011 for Perl share internal state across forked processes. When an object is initialised before forking, then the internal state for the PRNG is shared across processes and identical random streams will be produced. Secrets generated in multiprocess applications are predictable across processes.

