HTTP::Session2 версий до 1.09 для Perl не проверяет формат предоставленных пользователем идентификаторов сеансов, что позволяет внедрять код или иное влияние в зависимости от серверной части сеанса. Например, если приложение использует memcached для хранения сеансов, удаленный злоумышленник может внедрить команды memcached в значение идентификатора сеанса.
Показать оригинальное описание (EN)
HTTP::Session2 versions through 1.09 for Perl does not validate the format of user provided session ids, enabling code injection or other impact depending on session backend. For example, if an application uses memcached for session storage, then it may be possible for a remote attacker to inject memcached commands in the session id value.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Tokuhirom Http\
cpe:2.3:a:tokuhirom:http\:\:session2:*:*:*:*:*:perl:*:*
|
— |
<= 1.09
|
Ссылки 4
https://github.com/tokuhirom/HTTP-Session2/commit/813838f6d08034b6a265a70e53b59…
9b29abf9-4ab0-4765-b253-1875cd9b441e
https://metacpan.org/pod/Cache::Memcached::Fast::Safe
9b29abf9-4ab0-4765-b253-1875cd9b441e
https://metacpan.org/release/TOKUHIROM/HTTP-Session2-1.10/source/Changes
9b29abf9-4ab0-4765-b253-1875cd9b441e
http://www.openwall.com/lists/oss-security/2026/02/27/13
af854a3a-2127-422b-91ae-364da2661108