CVE-2026-5081Apache:::Сессия::Generate::ModUniqueId версии от 1.54 до 1.94 для Perl session ids небезопасны.
Apache:::Сессия::Generate::ModUniqueId (добавлен в версии 1.54) использует значение переменной среды UNIQUE_ID для сайта. Переменная UNIQUE_ID устанавливается плагином Apache mod_unique_id, который генерирует уникальные идентификаторы для запроса. ИД основан на адресе IPv4, идентификаторе процесса, времени эпохи, 16-битном счетчике и индексе нитей без запутываний.
IP-адрес сервера часто доступен для общественности, и, если он недоступен, можно догадаться из предыдущих выпусков сессий. О которых можно также догадаться из предыдущих сессий. Вспомогательно отметка легко угадать (и просочилась в заголовок ответа на дату HTTP).
Цель mod_unique_id состоит в том, чтобы назначить уникальный идентификатор запросам, чтобы события могли быть соотнесены в разных журналах. Ид не предназначен и не подходит для целей безопасности.