PT-2026-31087 · Amon2 · Amon2::Plugin::Web::Csrfdefender
Publicado
2026-04-08
·
Atualizado
2026-04-13
·
CVE-2026-5082
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
Name of the Vulnerable Software and Affected Versions
Amon2::Plugin::Web::CSRFDefender versões 7.00 através de 7.03
Description
Amon2::Plugin::Web::CSRFDefender versões 7.00 através de 7.03 para Perl geram um ID de sessão inseguro. A função
generate session id tenta ler de /dev/urandom, mas recorre a um hash SHA-1 com semente na função rand() interna, no PID e no tempo de época de alta resolução se /dev/urandom não estiver disponível. O PID é de um pequeno conjunto de números e o tempo de época pode ser adivinhado. A função rand() interna não é adequada para uso criptográfico.Recommendations
Atualize para uma versão anterior a 7.00.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Amon2::Plugin::Web::Csrfdefender