PT-2026-23118 · Unknown · Apache::Session::Generate::Md5
Robert Rothenberg
·
Publicado
2026-03-05
·
Atualizado
2026-05-15
·
CVE-2025-40931
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Apache::Session::Generate::MD5 versões até a 1.94
Descrição
O software gera IDs de sessão de maneira insegura. O gerador de ID de sessão padrão utiliza um hash MD5 semeado com a função nativa
rand(), o tempo epoch e o ID do processo (PID). O PID provém de um conjunto limitado de números, e o tempo epoch pode ser estimado. A função rand() não é adequada para fins criptográficos. IDs de sessão previsíveis podem permitir que um atacante obtenha acesso não autorizado a sistemas.Recomendações
Atualize para uma versão do Apache::Session::Generate::MD5 superior à 1.94.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache::Session::Generate::Md5