CVE-2025-15578
KrytyczneStreszczenie
Wersje Maypole od 2.10 do 2.13 dla Perla generują identyfikatory sesji w sposób niebezpieczny. Identyfikator sesji jest inicjowany na podstawie czasu systemowego, który jest dostępny w nagłówkach odpowiedzi HTTP, wywołania wbudowanej funkcji rand() oraz PID.
Ocena ryzyka
Organizacja może być narażona na ataki związane z przewidywaniem identyfikatorów sesji, co może prowadzić do nieautoryzowanego dostępu do sesji użytkowników. To stwarza ryzyko kradzieży danych i naruszenia prywatności.
Rekomendacja
Zaleca się aktualizację do nowszej wersji Maypole, która poprawia sposób generowania identyfikatorów sesji, aby zwiększyć bezpieczeństwo. Dodatkowo, warto rozważyć implementację dodatkowych mechanizmów zabezpieczających sesje.
Oryginalny opis (angielski, źródło NVD)
Maypole versions from 2.10 through 2.13 for Perl generates session ids insecurely. The session id is seeded with the system time (which is available from HTTP response headers), a call to the built-in rand() function, and the PID.

