Vulnerabilidad en Plack-Middleware-Session para Perl (CVE-2025-40923)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/07/2025
Última modificación:
04/11/2025
Descripción
Las versiones anteriores a la 0.35 de Plack-Middleware-Session para Perl generan identificadores de sesión de forma insegura. El generador de identificadores de sesión predeterminado devuelve un hash SHA-1 con la función rand integrada, la fecha y hora y el PID. El PID se obtendrá de un pequeño conjunto de números, y la fecha y hora pueden ser adivinadas si no se filtran del encabezado HTTP Date. La función rand integrada no es adecuada para uso criptográfico. Los identificadores de sesión predecibles podrían permitir que un atacante acceda a los sistemas.
Impacto
Puntuación base 3.x
7.30
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/plack/Plack-Middleware-Session/commit/1fbfbb355e34e7f4b3906f66cf958cedadd2b9be.patch
- https://github.com/plack/Plack-Middleware-Session/pull/52
- https://metacpan.org/release/MIYAGAWA/Plack-Middleware-Session-0.34/source/lib/Plack/Session/State.pm#L22
- https://security.metacpan.org/docs/guides/random-data-for-security.html
- http://www.openwall.com/lists/oss-security/2025/07/16/4