CVE-2026-13410 in Dancer::Plugin::Auth::Googleinfo

Zusammenfassung

von VulDB • 17.07.2026

Dancer::Plugin::Auth::Google Versionen bis 0.07 für Perl haben die TLS-Verifizierung deaktiviert.

Der standardmäßige User-Agent wird initialisiert, wobei SSL_verify_mode explizit deaktiviert ist.

Ein Angreifer mit Man-in-the-Middle (MITM)-Fähigkeiten im Netzwerk zwischen der Dancer-Anwendung und googleapis.com kann den OAuth2-Token-Austausch sowie das Abrufen von Benutzerinformationen abfangen, einen gefälschten access_token und ein Benutzerprofil zurückgeben und sich als beliebiger Google-Benutzer bei der Dancer-Anmeldung anmelden.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

CPANSec

Reservieren

26.06.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379782

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!