CVE-2026-45180
Catalyst::Plugin::Statsd versions through 0.10.0 for Perl may leak session ids
En resumen
Un complemento Perl para el framework web Catalyst puede exponer los IDs de sesión de los usuarios si la conexión al servicio de monitoreo statsd no está cifrada. Un atacante podría interceptar estos IDs y usarlos para suplantar usuarios.
Detalle técnico
Catalyst::Plugin::Statsd versiones hasta 0.10.0 transmiten identificadores de sesión en texto plano a daemons statsd a través de canales no asegurados (por ejemplo, UDP). Un atacante en la ruta de red puede interceptar pasivamente los IDs de sesión e utilizarlos como tokens de autenticación para acceder sin autorización a cuentas de usuarios.
Resumen generado y traducido por IA a partir de la descripción oficial.
Catalyst::Plugin::Statsd versions through 0.10.0 for Perl may leak session ids.
If the communication channel to the statsd daemon is not secured (for example, by sending UDP packets to a host on another network), then users' session ids may be leaked. This may allow an attacker to use session ids as authentication tokens.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
RRWO · Catalyst::Plugin::Statsd¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://github.com/robrwo/CatalystX-Statsd/security/advisories/GHSA-gjvr-hq83-fc38https://github.com/robrwo/Plack-Middleware-Statsd/security/advisories/GHSA-9gwm-665p-w2xxhttps://metacpan.org/release/RRWO/Catalyst-Plugin-Statsd-v0.10.0/changeshttps://www.cve.org/CVERecord?id=CVE-2026-45179