Vulnerabilidad en HTTP::Session2 de TOKUHIROM (CVE-2026-3255)
Gravedad:
Pendiente de análisis
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/02/2026
Última modificación:
02/03/2026
Descripción
Las versiones de HTTP::Session2 anteriores a la 1.12 para Perl pueden generar identificadores de sesión débiles utilizando la función rand().<br />
<br />
El generador de identificadores de sesión de HTTP::Session2 devuelve un hash SHA-1 inicializado con la función rand incorporada, el tiempo de época y el PID. El PID provendrá de un pequeño conjunto de números, y el tiempo de época puede ser adivinado, si no se filtra del encabezado HTTP Date. La función rand() incorporada no es adecuada para uso criptográfico.<br />
<br />
HTTP::Session2 después de la versión 1.02 intentará usar el dispositivo /dev/urandom para generar un identificador de sesión, pero si el dispositivo no está disponible (por ejemplo, bajo Windows), entonces revertirá al método inseguro descrito anteriormente.
Impacto
Referencias a soluciones, herramientas e información
- https://github.com/tokuhirom/HTTP-Session2/commit/9cfde4d7e0965172aef5dcfa3b03bb48df93e636.patch
- https://metacpan.org/release/TOKUHIROM/HTTP-Session2-1.01/source/lib/HTTP/Session2/ServerStore.pm#L68
- https://metacpan.org/release/TOKUHIROM/HTTP-Session2-1.11/source/lib/HTTP/Session2/Random.pm#L35
- https://metacpan.org/release/TOKUHIROM/HTTP-Session2-1.12/changes
- http://www.openwall.com/lists/oss-security/2026/02/27/12