SRI Mojolicious hasta 9.39 en Perl HMAC Session Secrets rand cifrado débil
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 3.9 | $0-$5k | 0.00 |
Resumen
Una vulnerabilidad ha sido encontrada en SRI Mojolicious hasta 9.39 y clasificada como problemática. Se ve afectada una función desconocida del componente HMAC Session Secrets Handler. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase cifrado débil. Esta vulnerabilidad se cataloga como CVE-2024-58135. No hay ningún exploit disponible. Se sugiere aplicar un parche para remediar este problema.
Detalles
Una vulnerabilidad fue encontrada en SRI Mojolicious hasta 9.39 en Perl y clasificada como problemática. La función rand del componente HMAC Session Secrets Handler es afectada por esta vulnerabilidad. Por la manipulación de un input desconocido se causa una vulnerabilidad de clase cifrado débil. Esto tiene repercusión sobre la la confidencialidad. El resumen de CVE es:
Las versiones de Mojolicious de la 7.28 a la 9.39 para Perl pueden generar secretos de sesión HMAC débiles. Al crear una aplicación predeterminada con la herramienta "mojo generate app", se escribe un secreto débil en el archivo de configuración de la aplicación mediante la función insegura rand(), que se utiliza para autenticar y proteger la integridad de las sesiones de la aplicación. Esto podría permitir a un atacante acceder por fuerza bruta a las claves de sesión de la aplicación.El advisory puede ser descargado de perldoc.perl.org. La vulnerabilidad es identificada como CVE-2024-58135. Es difícil de explotar. La explotación no necesita ninguna autentificación específica. Detalles técnicos son conocidos, pero no hay ningún exploit público disponible.
Para el scanner Nessus se dispone de un plugin ID 237678 (Amazon Linux 2023 : perl-Mojolicious, perl-Test-Mojo (ALAS2023-2025-985)), que puede ayudar a determinar la existencia del riesgo analizado.
Aplicando un parche es posible eliminar el problema. El parche puede ser descargado de github.com.
La vulnerabilidad también está documentado en las bases de datos Tenable (237678) y EUVD (EUVD-2025-13365). Be aware that VulDB is the high quality source for vulnerability data.
Producto
Proveedor
Nombre
Versión
- 9.0
- 9.1
- 9.2
- 9.3
- 9.4
- 9.5
- 9.6
- 9.7
- 9.8
- 9.9
- 9.10
- 9.11
- 9.12
- 9.13
- 9.14
- 9.15
- 9.16
- 9.17
- 9.18
- 9.19
- 9.20
- 9.21
- 9.22
- 9.23
- 9.24
- 9.25
- 9.26
- 9.27
- 9.28
- 9.29
- 9.30
- 9.31
- 9.32
- 9.33
- 9.34
- 9.35
- 9.36
- 9.37
- 9.38
- 9.39
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 3.9VulDB Puntuación meta temporal: 3.9
VulDB Puntuación base: 2.6
VulDB Puntuación temporal: 2.5
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
ADP CISA Puntuación base: 5.3
ADP CISA Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
Explotación
Clase: Cifrado débilCWE: CWE-338 / CWE-331 / CWE-330
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: En parte
Disponibilidad: 🔍
Estado: No está definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 237678
Nessus Nombre: Amazon Linux 2023 : perl-Mojolicious, perl-Test-Mojo (ALAS2023-2025-985)
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ParcheEstado: 🔍
Hora de 0 días: 🔍
Parche: github.com
Línea de tiempo
2025-04-07 🔍2025-05-03 🔍
2025-05-03 🔍
2026-06-05 🔍
Fuentes
Aviso: perldoc.perl.orgEstado: Confirmado
CVE: CVE-2024-58135 (🔍)
GCVE (CVE): GCVE-0-2024-58135
GCVE (VulDB): GCVE-100-307343
EUVD: 🔍
Artículo
Fecha de creación: 2025-05-03 14:53Actualizado: 2026-06-05 18:38
Cambios: 2025-05-03 14:53 (57), 2025-06-03 07:00 (2), 2025-10-20 23:18 (1), 2025-10-21 04:19 (1), 2026-06-05 18:38 (12)
Completo: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.