Vulnerabilidad en Amon2 de TOKUHIROM (CVE-2025-15604)

Las versiones de Amon2 anteriores a la 6.17 para Perl utilizan una implementación insegura de random_string para funciones de seguridad.<br /> <br /> En las versiones 6.06 a la 6.16, la función random_string intentará leer bytes del dispositivo /dev/urandom, pero si este no está disponible, entonces genera bytes concatenando un hash SHA-1 inicializado con la función rand() incorporada, el PID y el tiempo de época de alta resolución. El PID provendrá de un pequeño conjunto de números, y el tiempo de época puede ser adivinado, si no se filtra del encabezado HTTP Date. La función rand incorporada no es adecuada para uso criptográfico.<br /> <br /> Antes de la versión 6.06, no había un mecanismo de respaldo cuando /dev/urandom no estaba disponible.<br /> <br /> Antes de la versión 6.04, la función random_string utilizaba la función rand() incorporada para generar una cadena alfanumérica de mayúsculas y minúsculas.<br /> <br /> Esta función puede ser utilizada para generar IDs de sesión, generar secretos para firmar o cifrar datos de sesión de cookie y generar tokens utilizados para la protección contra la falsificación de solicitudes entre sitios (CSRF).