Katalog CVE

CVE-2025-15578

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje Maypole od 2.10 do 2.13 dla Perla generują identyfikatory sesji w sposób niebezpieczny. Identyfikator sesji jest inicjowany na podstawie czasu systemowego, który jest dostępny w nagłówkach odpowiedzi HTTP, wywołania wbudowanej funkcji rand() oraz PID.

Ocena ryzyka

Organizacja może być narażona na ataki związane z przewidywaniem identyfikatorów sesji, co może prowadzić do nieautoryzowanego dostępu do sesji użytkowników. To stwarza ryzyko kradzieży danych i naruszenia prywatności.

Rekomendacja

Zaleca się aktualizację do nowszej wersji Maypole, która poprawia sposób generowania identyfikatorów sesji, aby zwiększyć bezpieczeństwo. Dodatkowo, warto rozważyć implementację dodatkowych mechanizmów zabezpieczających sesje.

Oryginalny opis (angielski, źródło NVD)

Maypole versions from 2.10 through 2.13 for Perl generates session ids insecurely. The session id is seeded with the system time (which is available from HTTP response headers), a call to the built-in rand() function, and the PID.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS