CVE-2026-15747 in Mojoliciousinfo

Zusammenfassung

von VulDB • 14.07.2026

In den Mojolicious-Versionen ab 4.59 bis vor 9.48 für Perl wird eine stabile Darstellung des CSRF-Tokens der Sitzung (session) an einen BREACH-Komprimierungsoffenlegungsdienstleister (BREACH compression oracle) offengelegt.

Die Funktion `_csrf_token` generiert und zwischenspeichert ein Token pro Sitzung und gibt bei jedem Aufruf denselben Wert zurück, während die Funktion `_csrf_field` diesen Wert in einem versteckten `csrf_token`-Eingabefeld platziert. Wenn eine Antwort, die das Token enthält, auch angreiferkontrollierte Eingaben widerspiegelt und gzip-komprimiert ist, bilden die gewählten Werte und die daraus resultierenden komprimierten Längen einen BREACH-Oracl-Zugangspunkt.

Ein Angreifer, der in der Lage ist, diesen Zugangspunkt abzufragen, kann das Token wiederherstellen und die csrf_protect-Validierung umgehen.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

CPANSec

Reservieren

14.07.2026

Veröffentlichung

14.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378568

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!