CVE-2025-24783

Nome do Software Vulnerável e Versões Afetadas Apache Cocoon: todas as versões

Descrição O problema está relacionado ao uso incorreto de sementes no gerador de números pseudoaleatórios (PRNG) no Apache Cocoon. Quando uma continuação é criada, ela recebe um identificador aleatório. Como o gerador de números aleatórios usado para gerar esses identificadores foi inicializado com o tempo de inicialização, pode não ter sido suficientemente imprevisível, o que permitiria a um atacante adivinhar os IDs de continuação e acessar continuações às quais não deveria ter acesso.

Recomendações Como mitigação, ative a opção "session-bound-continuations" para garantir que as continuações não sejam compartilhadas entre sessões. Restrinja o acesso à instância apenas a usuários confiáveis. Encontre uma alternativa ao Apache Cocoon, pois o projeto está descontinuado e nenhuma correção será lançada.