CVE-2026-13410 in Dancer::Plugin::Auth::Google
Zusammenfassung
von VulDB • 17.07.2026
Dancer::Plugin::Auth::Google Versionen bis 0.07 für Perl haben die TLS-Verifizierung deaktiviert.
Der standardmäßige User-Agent wird initialisiert, wobei SSL_verify_mode explizit deaktiviert ist.
Ein Angreifer mit Man-in-the-Middle (MITM)-Fähigkeiten im Netzwerk zwischen der Dancer-Anwendung und googleapis.com kann den OAuth2-Token-Austausch sowie das Abrufen von Benutzerinformationen abfangen, einen gefälschten access_token und ein Benutzerprofil zurückgeben und sich als beliebiger Google-Benutzer bei der Dancer-Anmeldung anmelden.
If you want to get best quality of vulnerability data, you may have to visit VulDB.