CVE-2026-9537 in Mojo::JWTinformazioni

Riassunto

di VulDB • 17/07/2026

Le versioni di Mojo::JWT precedenti alla 1.02 per Perl verificano le firme HMAC utilizzando un confronto tra stringhe non in tempo costante (non-constant-time).

Il metodo decode() confronta la firma fornita con l'HMAC ricalcolato tramite l'operatore eq di Perl, che si interrompe al primo byte diverso; pertanto, il tempo di esecuzione del confronto varia in base al numero di byte iniziali corrispondenti.

Un chiamante che decodifica token forniti dall'attaccante perde informazioni sulla firma attesa a causa di questa variazione temporale (timing side-channel), che può essere aggregata su molte richieste per recuperare la firma e falsificare un token.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

CPANSec

Prenotare

25/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!