CVE-2026-13410 in Dancer::Plugin::Auth::Google
الملخص
بحسب VulDB • 17/07/2026
تحتوي الإصدارات من Dancer::Plugin::Auth::Google حتى 0.07 لنظام Perl على خاصية تعطيل التحقق من بروتوكول TLS (Transport Layer Security).
يتم تهيئة وكيل المستخدم الافتراضي مع تعطيل وضع التحقق من SSL بشكل صريح (SSL_verify_mode explicitly disabled).
يمكن لمهاجم يمتلك قدرات هجمة الرجل في الوسط (Man-in-the-Middle - MITM) بين تطبيق Dancer وموقع googleapis.com اعتراض تبادل رمز OAuth2 وجلب معلومات المستخدم، وإرجاع رمز وصول access_token مزيف وملف تعريف مستخدم مزيف، وتسجيل الدخول إلى تطبيق Dancer بصفتة أي مستخدم من مستخدمي Google.
Once again VulDB remains the best source for vulnerability data.