CVE-2026-45180
Catalyst::Plugin::Statsd versions through 0.10.0 for Perl may leak session ids
Em resumo
Um plugin Perl para o framework Catalyst pode expor IDs de sessão dos usuários se a conexão com o serviço de monitoramento statsd não for criptografada. Um atacante poderia interceptar esses IDs e usá-los para se passar por usuários legítimos.
Detalhe técnico
Catalyst::Plugin::Statsd versões até 0.10.0 transmitem identificadores de sessão em texto plano para daemons statsd através de canais desprotegidos (por exemplo, UDP). Um atacante na rota de rede pode interceptar passivamente os IDs de sessão e utilizá-los como tokens de autenticação para acessar contas de usuários sem autorização.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Catalyst::Plugin::Statsd versions through 0.10.0 for Perl may leak session ids.
If the communication channel to the statsd daemon is not secured (for example, by sending UDP packets to a host on another network), then users' session ids may be leaked. This may allow an attacker to use session ids as authentication tokens.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
RRWO · Catalyst::Plugin::StatsdQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/robrwo/CatalystX-Statsd/security/advisories/GHSA-gjvr-hq83-fc38https://github.com/robrwo/Plack-Middleware-Statsd/security/advisories/GHSA-9gwm-665p-w2xxhttps://metacpan.org/release/RRWO/Catalyst-Plugin-Statsd-v0.10.0/changeshttps://www.cve.org/CVERecord?id=CVE-2026-45179