PT-2026-54520 · Cpan · Cgi::Session::Id::Md5
Mark Stosberg
+1
·
Publicado
2026-07-01
·
Atualizado
2026-07-01
·
CVE-2026-56016
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
CGI::Session::ID::md5 versões anteriores a 4.49
Descrição
IDs de sessão previsíveis são gerados a partir de fontes de baixa entropia. A função
generate id() cria o ID da sessão usando um digest MD5 do ID do processo, o tempo epoch e a função integrada rand(). Essas fontes são consideradas de baixa entropia porque o ID do processo é extraído de um intervalo pequeno, o tempo epoch pode ser adivinhado ou recuperado do cabeçalho HTTP Date, e a função rand() é previsível e reversível. Um invasor que preveja um ID de sessão pode personificar a sessão correspondente e ignorar a autenticação.Recomendações
Atualize o CGI::Session::ID::md5 para a versão 4.49 ou posterior.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cgi::Session::Id::Md5