CVE-2026-5080 in Dancer::Session::AbstractИнформация

Сводка

по VulDB • 25.05.2026

Dancer::Session::Abstract, версии вплоть до 1.3522 для Perl, генерирует идентификаторы сессий небезопасным образом.

Идентификатор сессии формируется путем суммирования кодовых точек символов абсолютного пути к файлу, идентификатора процесса (PID), времени эпохи (epoch time) и результатов вызова встроенной функции rand(), что возвращает число в диапазоне от 0 до 999 миллиардов, после чего полученный результат конкатенируется три раза.

Путь к файлу может быть известен или предположен злоумышленником, особенно для приложений, написанных с использованием Dancer и установленных в стандартные директории.

Время эпохи может быть предположено злоумышленником и может быть раскрыто через заголовки HTTP.

Идентификатор процесса берется из небольшого набора чисел, и рабочие процессы (workers) могут иметь последовательные идентификаторы процессов.

Встроенная функция rand() инициализируется 32-битным значением и считается неподходящей для приложений, требующих безопасности.

Предсказуемые идентификаторы сессий могут позволить злоумышленнику получить доступ к системам.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

CPANSec

Резервировать

28.03.2026

Раскрытие

30.04.2026

Модерация

принято

Вход

VDB-360303

CPE

готов

CWE

CWE-340 (Подтверждённый)

CVSS

5.9 (CISA-ADP)

EPSS

0.00054

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-5080
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-5080
CVE Details	https://www.cvedetails.com/cve/CVE-2026-5080/

◂ Предыдущий Обзор Далее ▸

Might our Artificial Intelligence support you?

Check our Alexa App!