CVE-2024-58134

Nome do Software Vulnerável e Versões Afetadas Mojolicious versões 0.999922 a 9.39

Descrição O problema envolve o uso de uma string hardcoded ou do nome da classe da aplicação como segredo de sessão HMAC por padrão no Mojolicious para Perl. Esse segredo padrão previsível pode ser explorado para falsificar cookies de sessão, permitindo que um atacante adultere ou sequestre a sessão de outro usuário caso conheça ou consiga adivinhar o segredo.

Recomendações Para as versões do Mojolicious de 0.999922 a 9.39, considere alterar o segredo de sessão HMAC padrão para um valor único e gerado aleatoriamente, a fim de prevenir a falsificação de cookies de sessão. Como medida temporária, restrinja o acesso a sessões de usuário sensíveis até que um segredo seguro possa ser implementado.