Vulnerabilidad en BVA (CVE-2026-2439)

Las versiones de Concierge::Sessions desde la 0.8.1 anteriores a la 0.8.5 para Perl generan identificadores de sesión inseguros. La función generate_session_id en Concierge::Sessions::Base por defecto utiliza el comando uuidgen para generar un UUID, con un mecanismo de respaldo que usa la función rand incorporada de Perl. Ninguno de estos métodos es seguro, y los atacantes pueden adivinar los identificadores de sesión que pueden otorgarles acceso a los sistemas. Específicamente,<br /> <br /> * No hay ninguna advertencia cuando uuidgen falla. El software puede estar utilizando silenciosamente la función de respaldo rand() sin advertencias si el comando falla por cualquier motivo.<br /> * El comando uuidgen generará un UUID basado en el tiempo si el sistema no tiene una fuente de números aleatorios de alta calidad, porque la llamada no especifica explícitamente la opción --random. Tenga en cuenta que la hora del sistema se comparte en las respuestas HTTP.<br /> * Los UUID son identificadores cuya mera posesión otorga acceso, según la RFC 9562.<br /> * La salida de la función rand() incorporada es predecible e inadecuada para aplicaciones de seguridad.