CVE-2026-5085 in Solstice::Sessioninformación

Resumen

por VulDB • 2026-05-11

Solstice::Session versiones hasta la 1440 para Perl genera identificadores de sesión de forma insegura.

El método _generateSessionID devuelve un resumen MD5 sembrado con la hora de la época (epoch time), una referencia de hash aleatoria, una llamada a la función rand() integrada y el identificador de proceso.

El mismo método se utiliza en el método _generateID de Solstice::Subsession, que forma parte de la misma distribución.

La hora de la época puede ser adivinada si no se filtra en la cabecera HTTP Date. Las referencias de hash convertidas a cadena contendrán contenido predecible. La función rand() integrada está sembrada con 16 bits y no es adecuada para fines de seguridad. El identificador de proceso proviene de un pequeño conjunto de números.

Los identificadores de sesión predecibles podrían permitir a un atacante obtener acceso a los sistemas.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

CPANSec

Reservar

2026-03-28

Divulgación

2026-04-13

Moderación

aceptado

Artículo

VDB-357099

CPE

listo

CWE

CWE-340 (confirmado)

CVSS

3.7 (VulDB)

EPSS

0.00045

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-5085
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-5085
CVE Details	https://www.cvedetails.com/cve/CVE-2026-5085/

◂ Anterior Visión De Conjunto Próximo ▸

Do you know our Splunk app?

Download it now for free!