Vulnerabilidad en Smolder de WONKO (CVE-2024-58041)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/02/2026
Última modificación:
04/03/2026
Descripción
Las versiones de Smolder hasta la 1.51 para Perl utilizan la función rand() insegura para funciones criptográficas.<br />
<br />
Smolder 1.51 y anteriores para Perl utilizan la función rand() como fuente de entropía predeterminada, que no es criptográficamente segura, para funciones criptográficas.<br />
<br />
Específicamente, Smolder::DB::Developer utiliza la biblioteca Data::Random, que específicamente indica que es &#39;Útil principalmente para programas de prueba&#39;. Data::Random utiliza la función rand().
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:wonko:smolder:*:*:*:*:*:perl:*:* | 1.51 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://metacpan.org/release/BAREFOOT/Data-Random-0.13/source/lib/Data/Random.pm#L537
- https://metacpan.org/release/WONKO/Smolder-1.51/source/lib/Smolder/DB/Developer.pm#L221
- https://metacpan.org/release/WONKO/Smolder-1.51/source/lib/Smolder/DB/Developer.pm#L5
- https://perldoc.perl.org/functions/rand
- https://security.metacpan.org/docs/guides/random-data-for-security.html