CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-15604

Critical
Published: Translated: NVD NIST

Summary

Wersje Amon2 przed 6.17 dla Perla wykorzystują niebezpieczną implementację funkcji random_string w kontekście bezpieczeństwa. W wersjach 6.06 do 6.16 funkcja ta próbuje odczytać bajty z urządzenia /dev/urandom, ale w przypadku jego niedostępności generuje bajty w sposób, który może być przewidywalny.

Risk Assessment

Użycie nieodpowiednich metod generowania losowych ciągów może prowadzić do łatwego przewidywania sesji, co stwarza ryzyko ataków, takich jak kradzież sesji czy ataki CSRF. Organizacje powinny być świadome, że ich dane mogą być narażone na nieautoryzowany dostęp.

Recommendation

Zaleca się aktualizację do wersji Amon2 6.17 lub nowszej, aby zapewnić bezpieczne generowanie losowych ciągów. Dodatkowo, warto rozważyć użycie bardziej bezpiecznych źródeł losowości dla funkcji kryptograficznych.

Original NVD description (English source)

Amon2 versions before 6.17 for Perl use an insecure random_string implementation for security functions. In versions 6.06 through 6.16, the random_string function will attempt to read bytes from the /dev/urandom device, but if that is unavailable then it generates bytes by concatenating a SHA-1 hash seeded with the built-in rand() function, the PID, and the high resolution epoch time. The PID will come from a small set of numbers, and the epoch time may be guessed, if it is not leaked from the HTTP Date header. The built-in rand function is unsuitable for cryptographic usage. Before version 6.06, there was no fallback when /dev/urandom was not available. Before version 6.04, the random_string function used the built-in rand() function to generate a mixed-case alphanumeric string. This function may be used for generating session ids, generating secrets for signing or encrypting cookie session data and generating tokens used for Cross Site Request Forgery (CSRF) protection.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS