CVE-2026-9692
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
Wersje Mojolicious::Sessions::Storable do 0.05 dla Perla generują identyfikatory sesji w sposób niebezpieczny. Domyślny generator identyfikatorów sesji wykorzystuje źródła o niskiej entropii, co czyni je przewidywalnymi.
Ocena ryzyka
Organizacje mogą być narażone na ataki, w których napastnicy mogą przewidzieć identyfikatory sesji, co prowadzi do potencjalnego przejęcia sesji użytkowników.
Rekomendacja
Zaleca się aktualizację do nowszej wersji Mojolicious::Sessions::Storable, która poprawia sposób generowania identyfikatorów sesji, aby zwiększyć ich bezpieczeństwo.
Oryginalny opis (angielski, źródło NVD)
Mojolicious::Sessions::Storable versions through 0.05 for Perl generate session ids insecurely. The default session id generator returns a SHA-1 hash seeded with the built-in rand function, the epoch time, the heap address of an anonymous hash, and the PID. These are predictable or low-entropy sources that are unsuitable for security purposes.

