Vulnerabilidad en KAZEBURO (CVE-2025-40926)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/03/2026
Última modificación:
12/03/2026
Descripción
Las versiones de Plack::Middleware::Session::Simple hasta la 0.04 para Perl generan identificadores de sesión de forma insegura.<br />
<br />
El generador predeterminado de identificadores de sesión devuelve un hash SHA-1 inicializado con la función rand incorporada, el tiempo epoch y el PID. El PID provendrá de un pequeño conjunto de números, y el tiempo epoch puede ser adivinado, si no se filtra del encabezado HTTP Date. La función rand incorporada no es adecuada para uso criptográfico.<br />
<br />
Los identificadores de sesión predecibles podrían permitir a un atacante obtener acceso a los sistemas.<br />
<br />
Plack::Middleware::Session::Simple está diseñado para ser compatible con Plack::Middleware::Session, que tuvo un problema de seguridad similar CVE-2025-40923.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:kazeburo:plack\:\:middleware\:\:session\:\:simple:*:*:*:*:*:perl:*:* | 0.05 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/kazeburo/Plack-Middleware-Session-Simple/commit/760bb358b8f53e52cf415888a4ac858fd99bb24e.patch
- https://github.com/kazeburo/Plack-Middleware-Session-Simple/pull/4
- https://metacpan.org/release/KAZEBURO/Plack-Middleware-Session-Simple-0.04/source/lib/Plack/Middleware/Session/Simple.pm#L43
- https://metacpan.org/release/KAZEBURO/Plack-Middleware-Session-Simple-0.05/changes
- https://security.metacpan.org/docs/guides/random-data-for-security.html
- https://www.cve.org/CVERecord?id=CVE-2025-40923