PT-2025-32585 · Unknown+1 · Data::Uuid+2
Robrwo
·
Publicado
2025-01-01
·
Atualizado
2025-09-23
·
CVE-2025-40920
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas:
Catalyst::Authentication::Credential::HTTP versões 1.018 e anteriores
Descrição:
O software gera nonces utilizando a biblioteca Perl Data::UUID, que não emprega uma fonte criptográfica forte para a geração de UUID. A Data::UUID retorna UUIDs v3, que são derivados de informações conhecidas e são inadequados para fins de segurança, conforme definido na RFC 9562. Os nonces devem ser gerados utilizando uma fonte criptográfica forte, conforme especificado na RFC 7616.
Recomendações:
Atualize o Catalyst::Authentication::Credential::HTTP para uma versão posterior à 1.018.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Catalyst::Authentication::Credential::Http
Data::Uuid
Debian