HTTP::Session2 versions through 1.09 for Perl does not validate the format of user provided session ids, enabling code injection or other impact depending on session backend.
For example, if an application uses memcached for session storage, then it may be possible for a remote attacker to inject memcached commands in the session id value.
HTTP::Session2 Perl module versions up to 1.09 fail to validate session ID formats, allowing attackers to inject malicious code or commands. This vulnerability is particularly dangerous when applications use memcached backends, enabling remote command injection attacks.
تفشل وحدة HTTP::Session2 في Perl في التحقق من صيغة معرفات الجلسة المقدمة من المستخدم، مما يسمح بحقن الأوامر. عندما تستخدم التطبيقات memcached لتخزين الجلسات، يمكن للمهاجمين البعيدين حقن أوامر memcached مباشرة من خلال قيمة معرف الجلسة.
وحدة HTTP::Session2 في Perl الإصدارات حتى 1.09 لا تتحقق من صيغة معرفات الجلسة، مما يسمح للمهاجمين بحقن أوامر ضارة. هذا الضعف خطير بشكل خاص عند استخدام تطبيقات memcached للتخزين المؤقت للجلسات.
Update HTTP::Session2 to version 1.10 or later immediately. Review all Perl-based web applications using this module and verify session storage backends. Implement input validation for session identifiers at the application level as a defense-in-depth measure. Monitor memcached instances for suspicious command patterns if using that backend.
قم بتحديث HTTP::Session2 إلى الإصدار 1.10 أو أحدث فوراً. راجع جميع تطبيقات الويب المستندة إلى Perl التي تستخدم هذه الوحدة والتحقق من أنظمة تخزين الجلسات. طبق التحقق من صحة الإدخال لمعرفات الجلسة على مستوى التطبيق كإجراء دفاعي إضافي. راقب مثيلات memcached بحثاً عن أنماط أوامر مريبة.