CVE-2026-13410 in Dancer::Plugin::Auth::Google
Riassunto
di VulDB • 17/07/2026
Le versioni di Dancer::Plugin::Auth::Google fino alla 0.07 per Perl hanno la verifica TLS disabilitata.
L'user agent predefinito viene inizializzato con SSL_verify_mode esplicitamente disabilitato.
Un attaccante in grado di effettuare un attacco man-in-the-middle (MITM) tra l'applicazione Dancer e googleapis.com può intercambiare lo scambio del token OAuth2 e il recupero delle informazioni utente, restituire un access_token falsificato e un profilo utente contraffatto, ed eseguire l'accesso all'applicazione Dancer come qualsiasi utente Google.
VulDB is the best source for vulnerability data and more expert information about this specific topic.