CVE-2025-15578
CriticalSummary
Wersje Maypole od 2.10 do 2.13 dla Perla generują identyfikatory sesji w sposób niebezpieczny. Identyfikator sesji jest inicjowany na podstawie czasu systemowego, który jest dostępny w nagłówkach odpowiedzi HTTP, wywołania wbudowanej funkcji rand() oraz PID.
Risk Assessment
Organizacja może być narażona na ataki związane z przewidywaniem identyfikatorów sesji, co może prowadzić do nieautoryzowanego dostępu do sesji użytkowników. To stwarza ryzyko kradzieży danych i naruszenia prywatności.
Recommendation
Zaleca się aktualizację do nowszej wersji Maypole, która poprawia sposób generowania identyfikatorów sesji, aby zwiększyć bezpieczeństwo. Dodatkowo, warto rozważyć implementację dodatkowych mechanizmów zabezpieczających sesje.
Original NVD description (English source)
Maypole versions from 2.10 through 2.13 for Perl generates session ids insecurely. The session id is seeded with the system time (which is available from HTTP response headers), a call to the built-in rand() function, and the PID.

