Vulnerabilidad en HTTP::Session de KTAT (CVE-2026-3256)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/03/2026
Última modificación:
01/04/2026
Descripción
Las versiones de HTTP::Session hasta la 0.53 para Perl por defecto utilizan identificadores de sesión generados de forma insegura.<br />
<br />
HTTP::Session por defecto utiliza HTTP::Session::ID::SHA1 para generar identificadores de sesión usando un hash SHA-1 sembrado con la función rand incorporada, el tiempo de época de alta resolución y el PID. El PID provendrá de un pequeño conjunto de números, y el tiempo de época puede ser adivinado, si no se filtra del encabezado HTTP Date. La función rand incorporada es inadecuada para uso criptográfico.<br />
<br />
La distribución incluye HTTP::session::ID::MD5 que contiene una falla similar, pero utiliza el hash MD5 en su lugar.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ktat:http\:\:session:*:*:*:*:*:perl:*:* | 0.53 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://metacpan.org/release/KTAT/http-session-0.53/source/lib/HTTP/Session/ID/MD5.pm
- https://metacpan.org/release/KTAT/http-session-0.53/source/lib/HTTP/Session/ID/SHA1.pm
- https://security.metacpan.org/docs/guides/random-data-for-security.html
- http://www.openwall.com/lists/oss-security/2026/03/28/5