Plack-Middleware-Session, een Perl-module, genereert voor versie 0.35 sessie-ID’s op een onveilige manier. Deze kwetsbaarheid staat bekend als CVE-2025-40923 en kan ertoe leiden dat aanvallers toegang tot systemen met deze module kunnen verkrijgen.
Het probleem ligt in de manier waarop sessie-ID’s worden gegenereerd, gebruikmakend van een SHA-1 hash die wordt opgezet met ingebouwde functies zoals rand, de epoch tijd en de PID. Deze zijn voorspelbaar, wat cryptografische zwakheid impliceert.
Overzicht
- CVE-nummer: CVE-2025-40923
- Kwetsbaarheid: Generatie van voorspelbare sessie-ID’s
- Affected versies: Versies vóór 0.35
- Base score: 7.3 (High)
- Aanvalsvector: Netwerk
Waarschuwing: Deze kwetsbaarheid kan ertoe leiden dat een aanvaller toegang verkrijgt zonder uw medeweten.
Aanbevelingen
Het wordt aanbevolen om te upgraden naar Plack-Middleware-Session versie 0.35 of later. Indien upgrading niet mogelijk is, wijzig dan het sid_generator attribuut naar een functie die een sessie-ID genereert op basis van een veilige bron van entropie.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-40923?
CVE-2025-40923 betreft een kwetsbaarheid in Plack-Middleware-Session voor versie 0.35 waar sessie-ID’s onveilig worden gegenereerd.
Welke systemen zijn kwetsbaar voor CVE-2025-40923?
Systemen die gebruik maken van Plack-Middleware-Session versies eerder dan 0.35.
Bestaat er al een patch of beveiligingsupdate?
Ja, er is een patch beschikbaar. Gebruikers wordt sterk aangeraden om te upgraden naar versie 0.35 of later.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan voorspellen en toegang krijgen tot sessies, mogelijk leidend tot ongeoorloofde toegang tot gevoelige informatie.
