CVE-2026-57082

Nome do Software Vulnerável e Versões Afetadas Net::BitTorrent versões anteriores a 2.0.2

Descrição O Net::BitTorrent gera a chave privada Diffie-Hellman do Message Stream Encryption (MSE) utilizando um Gerador de Números Pseudo-Aleatórios (PRNG) não criptográfico. Especificamente, o módulo KeyExchange.pm deriva a chave privada de 160 bits da função rand() do Perl, que é um gerador da classe drand48 semeado uma vez por processo. Como o segredo compartilhado e as chaves RC4 resultantes dependem deste PRNG previsível, um observador passivo pode recuperar o estado do PRNG analisando o preenchimento aleatório em texto claro gerado pela função random pad. Isso permite que um invasor reconstrua a chave privada, compute o segredo compartilhado usando a chave pública do peer, derive as chaves RC4 e decifre a conexão, anulando a ofuscação fornecida pelo MSE.

Recomendações Atualize o Net::BitTorrent para uma versão posterior à 2.0.1.