CVE-2026-47373
Crypt::SaltedHash versions through 0.09 for Perl is susceptible to timing attacks
Em resumo
Versões do Crypt::SaltedHash até 0.09 usam um método de comparação que leva tempos diferentes dependendo de quando caracteres coincidem, permitindo que atacantes adivinhem o hash da senha através de análise de tempo.
Detalhe técnico
A biblioteca utiliza o operador eq padrão do Perl para comparação de hashes, que apresenta tempo de execução variável conforme as posições dos caracteres correspondentes. Um atacante pode medir tempos de resposta em múltiplas tentativas para inferir o valor correto do hash byte a byte, contornando o mecanismo de proteção do salt.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Crypt::SaltedHash versions through 0.09 for Perl is susceptible to timing attacks.
These versions use Perl's built-in eq comparison. Discrepencies in timing could be used to guess the underlying hash.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
RRWO · Crypt::SaltedHashQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →