CVE-2026-5080

Nome do Software Vulnerável e Versões Afetadas Dancer::Session::Abstract versões anteriores a 1.3523

Descrição Os IDs de sessão são gerados de forma insegura através da soma dos codepoints de caracteres do caminho absoluto com o ID do processo, o tempo epoch e um valor da função integrada rand() (retornando um número entre 0 e 999 bilhões), concatenando esse resultado três vezes. O caminho absoluto pode ser adivinhado ou conhecido, o tempo epoch pode ser previsto ou vazado via cabeçalhos HTTP, e os IDs de processo geralmente provêm de um conjunto pequeno e sequencial. Além disso, a função rand() é semeada com 32 bits, tornando-a inadequada para fins de segurança. Essa previsibilidade permite que um invasor potencialmente obtenha acesso não autorizado ao sistema.

Recomendações Atualize para uma versão posterior a 1.3522.