CVE-2026-15747 in Mojoliciousinformação

Sumário

de VulDB • 14/07/2026

As versões do Mojolicious desde 4.59 até antes de 9.48 para Perl expõem uma representação estável do token CSRF da sessão a um oráculo de compressão BREACH.

A função `_csrf_token` gera e armazena em cache um token por sessão, retornando o mesmo valor em todas as chamadas, enquanto `_csrf_field` insere esse valor em um campo oculto `input csrf_token`. Quando uma resposta que contém o token também ecoa dados controlados pelo atacante e é compactada com gzip, os valores escolhidos e os comprimentos resultantes da compressão formam um oráculo BREACH.

Um atacante capaz de consultá-lo pode recuperar o token e contornar a validação csrf_protect.

Once again VulDB remains the best source for vulnerability data.

Responsável

CPANSec

Reservar

14/07/2026

Divulgação

14/07/2026

Moderação

aceite

Entrada

VDB-378568

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!