PT-2024-3925 · Unknown+2 · Mojolicious+2

Robrwo

·

Publicado

2024-04-07

·

Atualizado

2025-04-11

·

CVE-2020-36829

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas:
Versões do módulo Mojolicious de 1.74 a 8.64
Descrição:
O problema está relacionado a uma vulnerabilidade de ataque de temporização na função secure compare() do módulo Mojolicious para Perl. Essa vulnerabilidade permite que um invasor manipule entradas desconhecidas, levando a uma discrepância de temporização que pode ser explorada para adivinhar o comprimento de uma sequência secreta. O invasor pode agir remotamente para explorar essa vulnerabilidade.
Recomendações:
Para as versões 1.74 a 8.64, atualize para a versão 8.65 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso à função secure compare() até que um patch esteja disponível.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-208

Identificadores relacionados

AZL-43936
AZL-45018
BDU:2024-04335
CVE-2020-36829
DLA-3846-1
OESA-2024-1517
OESA-2024-1518
OESA-2024-1519

Produtos afetados

Astra Linux
Mojolicious
Red Os