PT-2026-54520 · Cpan · Cgi::Session::Id::Md5

Mark Stosberg

+1

·

Publicado

2026-07-01

·

Atualizado

2026-07-01

·

CVE-2026-56016

CVSS v3.1

5.9

Média

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas CGI::Session::ID::md5 versões anteriores a 4.49
Descrição IDs de sessão previsíveis são gerados a partir de fontes de baixa entropia. A função generate id() cria o ID da sessão usando um digest MD5 do ID do processo, o tempo epoch e a função integrada rand(). Essas fontes são consideradas de baixa entropia porque o ID do processo é extraído de um intervalo pequeno, o tempo epoch pode ser adivinhado ou recuperado do cabeçalho HTTP Date, e a função rand() é previsível e reversível. Um invasor que preveja um ID de sessão pode personificar a sessão correspondente e ignorar a autenticação.
Recomendações Atualize o CGI::Session::ID::md5 para a versão 4.49 ou posterior.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-56016

Produtos afetados

Cgi::Session::Id::Md5