nvd
Kazeburo
Уязвимости
2
Эксплуатируемые
0
Критический
1
Высокий
1
Топ уязвимостей
CVE-2025-40926Plck::Middleware::Session::Простая версия до 0.05 для Perl генерирует сеансы небезопасно.
Генератор идентификатора сеанса по умолчанию возвращает хеш SHA-1, засеянный со встроенной функцией ранда, временем эпохи и PID. PID будет исходить из небольшого набора чисел, и время эпохи может быть угадано, если он не просочится из заголовка даты HTTP. Встроенная функция ранда непригодна для криптографического использования.
Предсказуемые идентификаторы сеанса могут позволить злоумышленнику получить доступ к системам.
Plck::Middleware::Сессия::Простота предназначена для совместимости с Plck::Middleware::Сессия, у которой была аналогичная проблема безопасности CVE-2025-40923.
CVE-2026-40562Версии Gazelle через 0.49 для Perl позволяют осуществлять контрабанду HTTP запроса через неправильное предпочтение заголовка.
Газель неправильно отдает приоритет «Длине контента» над «Transfer-Encoding: chunked», когда оба заголовка присутствуют в HTTP-запросе. Согласно RFC 7230 3.3.3, передавательное кодирование должно иметь приоритет.
Злоумышленник может использовать это для контрабанды вредоносных HTTP-запросов через интерфейсный обратный прокси.