Vulnerabilidad en HTTP::Session2 de TOKUHIROM (CVE-2026-3255)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/02/2026
Última modificación:
04/03/2026
Descripción
Las versiones de HTTP::Session2 anteriores a la 1.12 para Perl pueden generar identificadores de sesión débiles utilizando la función rand().<br />
<br />
El generador de identificadores de sesión de HTTP::Session2 devuelve un hash SHA-1 inicializado con la función rand incorporada, el tiempo de época y el PID. El PID provendrá de un pequeño conjunto de números, y el tiempo de época puede ser adivinado, si no se filtra del encabezado HTTP Date. La función rand() incorporada no es adecuada para uso criptográfico.<br />
<br />
HTTP::Session2 después de la versión 1.02 intentará usar el dispositivo /dev/urandom para generar un identificador de sesión, pero si el dispositivo no está disponible (por ejemplo, bajo Windows), entonces revertirá al método inseguro descrito anteriormente.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:tokuhirom:http\:\:session2:*:*:*:*:*:perl:*:* | 1.12 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/tokuhirom/HTTP-Session2/commit/9cfde4d7e0965172aef5dcfa3b03bb48df93e636.patch
- https://metacpan.org/release/TOKUHIROM/HTTP-Session2-1.01/source/lib/HTTP/Session2/ServerStore.pm#L68
- https://metacpan.org/release/TOKUHIROM/HTTP-Session2-1.11/source/lib/HTTP/Session2/Random.pm#L35
- https://metacpan.org/release/TOKUHIROM/HTTP-Session2-1.12/changes
- http://www.openwall.com/lists/oss-security/2026/02/27/12