Catalyst-Plugin-Session bis 0.40 Session ID Session.pm _load_sessionid sid Cross Site Scripting
In Catalyst-Plugin-Session bis 0.40 wurde eine problematische Schwachstelle gefunden. Dabei geht es um die Funktion _load_sessionid
der Datei lib/Catalyst/Plugin/Session.pm der Komponente Session ID Handler. Mittels dem Manipulieren des Arguments sid mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-79. Die Gefahr wurde am 28.12.2022 als 88d1b599e1163761c9bd53bec53ba078f13e09d4 an die Öffentlichkeit getragen. Auf github.com kann das Advisory eingesehen werden.
Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2018-25052 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar. MITRE ATT&CK führt die Angriffstechnik T1059.007 für diese Schwachstelle.
Er gilt als nicht definiert. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt.
Ein Aktualisieren auf die Version 0.41 vermag dieses Problem zu lösen. Eine neue Version kann von github.com bezogen werden. Der Patch wird als 88d1b599e1163761c9bd53bec53ba078f13e09d4 bezeichnet. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
48 weitere Einträge werden nicht mehr angezeigt