CVE-2026-8647
Crypt::ScryptKDF versions through 0.010 for Perl uses insecure random number source when no CSPRNG module is available
Em resumo
A biblioteca Crypt::ScryptKDF usa um gerador de números aleatórios inseguro quando as bibliotecas criptográficas apropriadas não estão instaladas. Isso torna senhas e chaves previsíveis, enfraquecendo a proteção.
Detalhe técnico
A biblioteca recorre à função rand() nativa do Perl em vez de um CSPRNG criptograficamente seguro quando nenhum módulo CSPRNG dedicado está disponível. Isso acontece quando Crypt::PRNG, Crypt::OpenSSL::Random, Net::SSLeay, Crypt::Random e Bytes::Random::Secure estão ausentes. A aleatoriedade previsível compromete a segurança da derivação de chaves no Scrypt.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Crypt::ScryptKDF versions through 0.010 for Perl uses insecure random number source when no CSPRNG module is available.
The random_bytes function fell back to using the built-in rand() function when none of the Perl modules Crypt::PRNG, Crypt::OpenSSL::Random, Net::SSLeay, Crypt::Random, or Bytes::Random::Secure were available.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
Produtos afetados
MIK · Crypt::ScryptKDFQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →