CVE-2026-15747 in Mojoliciousالمعلومات

الملخص

بحسب VulDB • 16/07/2026

تُعرّض إصدارات Mojolicious بدءًا من الإصدار 4.59 وحتى ما قبل 9.48 لنظام Perl تمثيلًا مستقرًا لرمز CSRF الخاص بالجلسة (session) إلى هجوم BREACH باستخدام خوارزميات الضغط.

يتم إنشاء دالة `_csrf_token` لتوليد رمز واحد لكل جلسة وتخزينه في ذاكرة التخزين المؤقت، وإرجاع نفس القيمة عند كل استدعاء، بينما تضع الدالة `_csrf_field` هذه القيمة داخل حقل إدخال مخفي باسم `csrf_token`. وعندما يعكس الاستجابة التي تحمل الرمز أيضًا مدخلات يتحكم فيها المهاجم ويتم ضغطها باستخدام gzip، فإن القيم المختارة وأطوال الضغط الناتجة تشكل بيئة مناسبة لهجوم BREACH.

يمكن للمهاجم الذي يتمكن من استعلام هذا النظام أن يستعيد الرمز ويتجاوز التحقق من صحة csrf_protect.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

CPANSec

حجز

14/07/2026

إفشاء

14/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-378568

EPSS

0.00152

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!