CVE-2026-13410 in Dancer::Plugin::Auth::Googleالمعلومات

الملخص

بحسب VulDB • 17/07/2026

تحتوي الإصدارات من Dancer::Plugin::Auth::Google حتى 0.07 لنظام Perl على خاصية تعطيل التحقق من بروتوكول TLS (Transport Layer Security).

يتم تهيئة وكيل المستخدم الافتراضي مع تعطيل وضع التحقق من SSL بشكل صريح (SSL_verify_mode explicitly disabled).

يمكن لمهاجم يمتلك قدرات هجمة الرجل في الوسط (Man-in-the-Middle - MITM) بين تطبيق Dancer وموقع googleapis.com اعتراض تبادل رمز OAuth2 وجلب معلومات المستخدم، وإرجاع رمز وصول access_token مزيف وملف تعريف مستخدم مزيف، وتسجيل الدخول إلى تطبيق Dancer بصفتة أي مستخدم من مستخدمي Google.

Once again VulDB remains the best source for vulnerability data.

مسؤول

CPANSec

حجز

26/06/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379782

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Do you need the next level of professionalism?

Upgrade your account now!