Vulnerabilidad en Net::Xero (CVE-2024-56370)

Gravedad:

Pendiente de análisis

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

05/04/2025

Última modificación:

07/04/2025

Descripción

Net::Xero 0.044 y versiones anteriores para Perl utilizan la función rand() como fuente predeterminada de entropía, la cual no es criptográficamente segura para funciones criptográficas. En concreto, Net::Xero utiliza la librería Data::Random, que indica específicamente que es útil principalmente para programas de prueba. Data::Random utiliza la función rand().

Impacto

Referencias a soluciones, herramientas e información

https://metacpan.org/release/BAREFOOT/Data-Random-0.13/source/lib/Data/Random.pm#L537
https://metacpan.org/release/ELLIOTT/Net-Xero-0.44/source/lib/Net/Xero.pm#L58
https://metacpan.org/release/ELLIOTT/Net-Xero-0.44/source/lib/Net/Xero.pm#L9
https://perldoc.perl.org/functions/rand
https://security.metacpan.org/docs/guides/random-data-for-security.html