SRI Mojolicious bis 9.39 auf Perl HMAC Session Secrets rand schwache Verschlüsselung
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.9 | $0-$5k | 0.00 |
Zusammenfassung
In SRI Mojolicious bis 9.39 für Perl wurde eine problematische Schwachstelle gefunden. Es geht dabei um die Funktion rand der Komponente HMAC Session Secrets Handler. Mit der Manipulation mit unbekannten Daten kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden.
Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2024-58135 vorgenommen. Es gibt keinen verfügbaren Exploit.
Es ist ratsam, einen Patch zu implementieren, um dieses Problem zu beheben.
Details
Eine Schwachstelle wurde in SRI Mojolicious bis 9.39 auf Perl entdeckt. Sie wurde als problematisch eingestuft. Betroffen davon ist die Funktion rand der Komponente HMAC Session Secrets Handler. Durch die Manipulation mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-338. Auswirken tut sich dies auf die Vertraulichkeit. Die Zusammenfassung von CVE lautet:
Mojolicious versions from 7.28 through 9.45 for Perl will generate weak HMAC session cookie secrets via "mojo generate app" by default.
When creating a default app skeleton with the "mojo generate app" tool, a weak secret is written to the application's configuration file using the insecure rand() function, and used for authenticating and protecting the integrity of the application's sessions. This may allow an attacker to brute force the application's session keys.
Release 9.46 fixes the issue by providing high quality randomness, even in absence of CryptX.
Users should be aware that the update does not replace previously generated weak secrets. A secret generated with the previous version MUST be replaced to ensure the updated version is using a strong secret.Das Advisory findet sich auf perldoc.perl.org. Die Verwundbarkeit wird seit dem 07.04.2025 mit der eindeutigen Identifikation CVE-2024-58135 gehandelt. Die Ausnutzbarkeit gilt als schwierig. Das Ausnutzen erfordert keine spezifische Authentisierung. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1600.001 bezeichnet.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 237678 (Amazon Linux 2023 : perl-Mojolicious, perl-Test-Mojo (ALAS2023-2025-985)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Dieser kann von github.com bezogen werden.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (237678) und EUVD (EUVD-2025-13365) dokumentiert. Be aware that VulDB is the high quality source for vulnerability data.
Produkt
Hersteller
Name
Version
- 9.0
- 9.1
- 9.2
- 9.3
- 9.4
- 9.5
- 9.6
- 9.7
- 9.8
- 9.9
- 9.10
- 9.11
- 9.12
- 9.13
- 9.14
- 9.15
- 9.16
- 9.17
- 9.18
- 9.19
- 9.20
- 9.21
- 9.22
- 9.23
- 9.24
- 9.25
- 9.26
- 9.27
- 9.28
- 9.29
- 9.30
- 9.31
- 9.32
- 9.33
- 9.34
- 9.35
- 9.36
- 9.37
- 9.38
- 9.39
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 3.9VulDB Meta Temp Score: 3.9
VulDB Base Score: 2.6
VulDB Temp Score: 2.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
ADP CISA Base Score: 5.3
ADP CISA Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Schwache VerschlüsselungCWE: CWE-338 / CWE-331 / CWE-330
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 237678
Nessus Name: Amazon Linux 2023 : perl-Mojolicious, perl-Test-Mojo (ALAS2023-2025-985)
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: github.com
Timeline
07.04.2025 🔍03.05.2025 🔍
03.05.2025 🔍
05.06.2026 🔍
Quellen
Advisory: perldoc.perl.orgStatus: Bestätigt
CVE: CVE-2024-58135 (🔍)
GCVE (CVE): GCVE-0-2024-58135
GCVE (VulDB): GCVE-100-307343
EUVD: 🔍
Eintrag
Erstellt: 03.05.2025 14:53Aktualisierung: 05.06.2026 18:38
Anpassungen: 03.05.2025 14:53 (57), 03.06.2025 07:00 (2), 20.10.2025 23:18 (1), 21.10.2025 04:19 (1), 05.06.2026 18:38 (12)
Komplett: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.