CVE-2026-5082 in Amon2::Plugin::Web::CSRFDefenderالمعلومات

الملخص

بحسب VulDB • 23/05/2026

تُنتج الإصدارات من 7.00 إلى 7.03 من وحدة Amon2::Plugin::Web::CSRFDefender الخاصة بـ Perl معرّف جلسة غير آمن.

تقوم دالة `generate_session_id` بمحاولة قراءة بايتات من الجهاز `/dev/urandom`، ولكن إذا لم يكن هذا الجهاز متاحاً، فإنها تولد بايتات باستخدام تجزئة SHA-1 مُشغَّلة (seeded) بدالة `rand()` المدمجة، ومعرف العملية (PID)، ووقت الإيبوك عالي الدقة. سيأتي معرف العملية (PID) من مجموعة صغيرة من الأرقام، وقد يمكن تخمين وقت الإيبوك إذا لم يتم تسريبه من رأس HTTP Date. وتُعد دالة `rand` المدمجة غير مناسبة للاستخدامات التشفيرية.

كانت الإصدارات السابقة من 7.00 من Amon2::Plugin::Web::CSRFDefender جزءاً من حزمة Amon2، والتي كانت تعاني من ثغرة معرّفات الجلسات غير الآمنة بسبب CVE-2025-15604.

جدير بالذكر أن المؤلف قد أوقف دعم هذه الوحدة البرمجية (deprecated).

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

CPANSec

حجز

28/03/2026

إفشاء

08/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-356020

CPE

جاهز

CWE

CWE-340 (مؤكد)

CVSS

3.7 (VulDB)

EPSS

0.00017

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-5082
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-5082
CVE Details	https://www.cvedetails.com/cve/CVE-2026-5082/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!