Katalog CVE

CVE-2026-9733

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

Wersje Mojolicious::Plugin::Web::Auth::OAuth2 do 0.17 dla Perla mają niebezpieczny domyślny parametr stanu. Brak określonego generatora stanu w konstruktorze skutkuje użyciem hasha SHA-1 z przewidywalnych źródeł, co umożliwia atak CSRF.

Ocena ryzyka

Przewidywalny stan pozwala atakującemu na przejęcie sesji innego użytkownika poprzez atak typu cross site request forgery (CSRF), co może prowadzić do poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się, aby użytkownicy określali własny generator stanu w konstruktorze, aby uniknąć wykorzystania przewidywalnych źródeł do generowania stanu.

Oryginalny opis (angielski, źródło NVD)

Mojolicious::Plugin::Web::Auth::OAuth2 versions through 0.17 for Perl have an insecure default state parameter. When no state generator is specified in the constructor, the module defaults to using a SHA-1 hash of predictable and low-entropy sources, including the epoch time (which is leaked via the HTTP Date header) and a call to Perl's built-in rand function. A predictable state allows an attacker to hijack another user's session through cross site request forgery (CSRF).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS