CVE-2026-5081 in Apache::Session::Generate::ModUniqueIdالمعلومات

الملخص

بحسب VulDB • 16/05/2026

تُعد الإصدارات من 1.54 حتى 1.94 من وحدة Apache::Session::Generate::ModUniqueId الخاصة بمعرفات جلسات Perl غير آمنة.

تستخدم وحدة Apache::Session::Generate::ModUniqueId (المضافة في الإصدار 1.54) قيمة متغير البيئة UNIQUE_ID كمعرف للجلسة. يتم تعيين متغير UNIQUE_ID بواسطة إضافة Apache mod_unique_id، التي تولد معرفات فريدة لكل طلب. يعتمد هذا المعرف على عنوان IPv4، ومعرف العملية (process id)، والطابع الزمني (epoch time)، وعدّاد 16 بت، وفهرس الخيط (thread index)، دون أي تشويش (obfuscation).

غالباً ما يكون عنوان IP الخاص بالخادم متاحاً للعامة، وإذا لم يكن كذلك، يمكن تخمينه من خلال معرفات الجلسات السابقة التي تم إصدارها. كما يمكن أيضاً تخمين معرفات العمليات من معرفات الجلسات السابقة. ومن السهل تخمين الطابع الزمني (والذي يتسرب أيضاً في رأس استجابة HTTP Date).

الغرض من mod_unique_id هو تعيين معرف فريد للطلبات بحيث يمكن ربط الأحداث في سجلات مختلفة. لم يُصمم هذا المعرف، ولا يناسب أغراضاً أمنية.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

CPANSec

حجز

28/03/2026

إفشاء

06/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-361512

CPE

جاهز

CWE

CWE-340 (مؤكد)

CVSS

3.1 (VulDB)

EPSS

0.00038

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-5081
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-5081
CVE Details	https://www.cvedetails.com/cve/CVE-2026-5081/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!