الثغرات ›

CVE-2026-3255

متوسط

HTTP::Session2 versions before 1.12 for Perl for Perl may generate weak session ids using the rand() function. The HTTP::Session2 session id generator returns a SHA-1 hash seeded with the built-in ra

CWE-338 — نوع الضعف

                    نُشر: Feb 27, 2026                      ·  آخر تحديث: Mar 5, 2026                      ·  المصدر: NVD                

CVSS v3

6.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

HTTP::Session2 versions before 1.12 for Perl for Perl may generate weak session ids using the rand() function.

The HTTP::Session2 session id generator returns a SHA-1 hash seeded with the built-in rand function, the epoch time, and the PID. The PID will come from a small set of numbers, and the epoch time may be guessed, if it is not leaked from the HTTP Date header. The built-in rand() function is unsuitable for cryptographic usage.

HTTP::Session2 after version 1.02 will attempt to use the /dev/urandom device to generate a session id, but if the device is unavailable (for example, under Windows), then it will revert to the insecure method described above.

🤖 ملخص AI

HTTP::Session2 versions before 1.12 generate weak session IDs using the insecure rand() function instead of cryptographic randomness, potentially allowing attackers to predict or forge valid session tokens. Organizations using affected Perl-based web applications are at risk of session hijacking and unauthorized access.

📄 الوصف (العربية)

تستخدم HTTP::Session2 قبل الإصدار 1.12 دالة rand() المدمجة غير الآمنة لتوليد معرّفات الجلسة، مما يجعلها قابلة للتنبؤ بها. يحاول الإصدار 1.02 وما بعده استخدام /dev/urandom، لكنه يعود إلى الطريقة غير الآمنة على الأنظمة التي لا تتوفر فيها هذه الأداة مثل Windows. يمكن للمهاجمين استخدام معلومات مثل وقت النظام ومعرّف العملية للتنبؤ برموز الجلسة الصحيحة.

🤖 ملخص تنفيذي (AI)

إصدارات HTTP::Session2 السابقة للإصدار 1.12 تولد معرّفات جلسة ضعيفة باستخدام دالة rand() غير الآمنة بدلاً من العشوائية التشفيرية، مما قد يسمح للمهاجمين بتنبؤ أو تزوير رموز جلسة صحيحة. المنظمات التي تستخدم تطبيقات ويب قائمة على Perl المتأثرة معرضة لخطر اختطاف الجلسة والوصول غير المصرح به.

🤖 التحليل الذكي آخر تحليل: May 12, 2026 04:37

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1110 T1187 T1539

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade HTTP::Session2 to version 1.12 or later immediately. Ensure /dev/urandom or equivalent cryptographic random source is available on all systems. For Windows deployments, verify fallback mechanisms use secure random generation. Review and invalidate all existing sessions after patching. Implement additional session security controls such as IP binding and short session timeouts.

🔧 خطوات المعالجة (العربية)

قم بترقية HTTP::Session2 إلى الإصدار 1.12 أو أحدث فوراً. تأكد من توفر /dev/urandom أو مصدر عشوائي تشفيري معادل على جميع الأنظمة. بالنسبة لنشرات Windows، تحقق من أن آليات الرجوع تستخدم توليد عشوائي آمن. راجع وأبطل جميع الجلسات الموجودة بعد التصحيح. طبق عناصر تحكم أمان جلسة إضافية مثل ربط IP ومهل انتهاء الصلاحية القصيرة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.9.4.3

🔗 المراجع والمصادر 5

🔗

https://github.com/tokuhirom/HTTP-Session2/commit/9cfde4d7e0965172aef5dcfa3b03bb48df93e...

9b29abf9-4ab0-4765-b253-1875cd9b441e

Patch

🔗

https://metacpan.org/release/TOKUHIROM/HTTP-Session2-1.01/source/lib/HTTP/Session2/Serv...

9b29abf9-4ab0-4765-b253-1875cd9b441e

Issue Tracking

🔗

https://metacpan.org/release/TOKUHIROM/HTTP-Session2-1.11/source/lib/HTTP/Session2/Rand...

9b29abf9-4ab0-4765-b253-1875cd9b441e

Issue Tracking

🔗

https://metacpan.org/release/TOKUHIROM/HTTP-Session2-1.12/changes

9b29abf9-4ab0-4765-b253-1875cd9b441e

Release Notes

🔗

http://www.openwall.com/lists/oss-security/2026/02/27/12

af854a3a-2127-422b-91ae-364da2661108

Mailing List Third Party Advisory

📦 المنتجات المتأثرة 1 منتج

tokuhirom:http\:\

📊 CVSS Score

6.5

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityN — None / Network

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.5

CWECWE-338

EPSS0.01%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-02-27

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-338

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-3255

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب