CVE-2026-5085 in Solstice::Sessionالمعلومات

الملخص

بحسب VulDB • 24/05/2026

تُنتج الإصدارات من Solstice::Session حتى الإصدار 1440 الخاصة بـ Perl معرفات جلسات (session IDs) بشكل غير آمن.

تُعيد الدالة `_generateSessionID` تجزئة MD5 (digest) تُزرع (seeded) باستخدام وقت العصر (epoch time)، ومرجع تجزئة عشوائي (random hash reference)، واستدعاء للدالة المدمجة `rand()`، ومعرف العملية (process ID).

تُستخدم نفس الدالة في الدالة `_generateID` الموجودة في Solstice::Subsession، وهي جزء من نفس التوزيع البرمجي (distribution).

قد يكون من الممكن تخمين وقت العصر (epoch time)، إذا لم يتم تسريبه في رأس HTTP Date. ستحتوي المراجع التجزئية المحولة إلى سلاسل نصية (Stringified hash references) على محتوى قابل للتوقع. الدالة المدمجة `rand()` تُزرع بـ 16 بتاً، وهي غير مناسبة للأغراض الأمنية. يأتي معرف العملية من مجموعة صغيرة من الأرقام.

قد تسمح معرفات الجلسات القابلة للتوقع لمهاجم بالحصول على وصول إلى الأنظمة.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

CPANSec

حجز

28/03/2026

إفشاء

13/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-357099

CPE

جاهز

CWE

CWE-340 (مؤكد)

CVSS

3.7 (VulDB)

EPSS

0.00045

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-5085
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-5085
CVE Details	https://www.cvedetails.com/cve/CVE-2026-5085/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!