Mehrere Schwachstellen (CVE-2025-15578, CVE-2026-2439) in Concierge

Zusammenfassung

Die Versionen von Concierge::Sessions vor 0.8.5 weisen eine Sicherheitslücke auf, bei der unsichere Session-IDs generiert werden. Die verwendete Methode zur Erstellung der Session-IDs basiert auf uuidgen, das stumm ausfallen und auf die weniger sichere rand()-Funktion von Perl zurückgreifen kann. Das führt zu vorhersagbaren Session-IDs, die Angreifer ausspähen und missbrauchen können. Zudem können zeitbasierte UUIDs generiert werden, wenn uuidgen keine hochwertige Quelle für Zufallszahlen hat. Zur Absicherung ist eine sorgfältige Implementierung der Zufallszahlengenerierung erforderlich.

Bva - Concierge::sessions - CRITICAL - CVE-2026-2439. Concierge::Sessions versions prior to 0.8.5 exhibit a vulnerability where insecure session IDs are generated. The method for generating session IDs relies on uuidgen, which can fail silently and revert to using Perl's rand() function. This fallback poses a significant risk as the built-in rand() function provides predictable outputs unsuitable for secure applications. Additionally, if the uuidgen command does not receive a high-quality random number source, time-based UUIDs may be generated, exposing session IDs to potential guessing attacks. This flaw grants attackers access to systems by compromising session identifiers. Proper attention to secure random number generation is essential to mitigate these risks.