CVE-2024-58135
Gravedad:
Pendiente de análisis
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
03/05/2025
Última modificación:
03/05/2025
Descripción
Las versiones de Mojolicious de la 7.28 a la 9.39 para Perl pueden generar secretos de sesión HMAC débiles. Al crear una aplicación predeterminada con la herramienta "mojo generate app", se escribe un secreto débil en el archivo de configuración de la aplicación mediante la función insegura rand(), que se utiliza para autenticar y proteger la integridad de las sesiones de la aplicación. Esto podría permitir a un atacante acceder por fuerza bruta a las claves de sesión de la aplicación.
Impacto
Referencias a soluciones, herramientas e información
- https://github.com/hashcat/hashcat/pull/4090
- https://github.com/mojolicious/mojo/pull/2200
- https://metacpan.org/release/SRI/Mojolicious-7.28/source/lib/Mojolicious/Command/generate/app.pm#L220
- https://metacpan.org/release/SRI/Mojolicious-9.38/source/lib/Mojolicious/Command/Author/generate/app.pm#L202
- https://metacpan.org/release/SRI/Mojolicious-9.39/source/lib/Mojo/Util.pm#L181
- https://perldoc.perl.org/functions/rand
- https://security.metacpan.org/docs/guides/random-data-for-security.html