Felipe Daragon

**Nome do software vulnerável e versões afetadas** CGILua versões 5.0.x **Descrição** A biblioteca session.lua utiliza IDs de sessão sequenciais, facilitando que invasores remotos prevejam o ID da sessão e sequestrem sessões arbitrárias. **Recomendações** Para as versões 5.0.x do CGILua, considere implementar um mecanismo seguro de geração aleatória de IDs de sessão para evitar o sequestro de sessões. Como solução temporária, considere regenerar os IDs de sessão em intervalos regulares para minimizar o risco de exploração.

The session.lua library in CGILua 5.2 alpha 1 and 5.2 alpha 2 uses weak session IDs generated based on OS time, which allows remote attackers to hijack arbitrary sessions via a brute force attack. NOTE: CVE-2014-10399 and CVE-2014-10400 were SPLIT from this ID.