Plateforme
perl
Composant
apache2-api
Corrigé dans
0.5.3
CVE-2026-5088 is a vulnerability affecting versions 0.0.0 through 0.5.2 of the Apache::API::Password Perl module. This flaw allows the module to generate insecure random values for password salts when Crypt::URandom or Bytes::Random::Secure are unavailable, falling back to the insecure rand function. This can weaken password hashing and potentially compromise user credentials. Upgrade to version 0.5.3 to mitigate this risk.
La vulnérabilité CVE-2026-5088 dans Apache::API::Password affecte les versions antérieures à 0.5.3. Si les modules Crypt::URandom ou Bytes::Random::Secure ne sont pas disponibles, la bibliothèque revient à la fonction rand() de Perl pour générer les sels (salts) utilisés dans le hachage des mots de passe. La fonction rand() n'est pas adaptée aux fins cryptographiques, ce qui signifie que les sels générés peuvent être prévisibles. Un attaquant qui obtient l'accès aux mots de passe hachés pourrait potentiellement utiliser cette prévisibilité pour casser les hachages et récupérer les mots de passe originaux, compromettant ainsi la sécurité des comptes utilisateurs. La gravité de cette vulnérabilité dépend de la criticité des données protégées par les mots de passe hachés et de la probabilité qu'un attaquant puisse l'exploiter.
L'exploitation de cette vulnérabilité nécessite un accès au code qui utilise Apache::API::Password pour le hachage des mots de passe. Un attaquant aurait besoin d'obtenir les mots de passe hachés et, par la suite, d'utiliser des techniques de force brute ou des tables arc-en-ciel pour tenter de casser les hachages. L'efficacité de cette attaque dépend de la complexité de l'algorithme de hachage utilisé (ce qui n'est pas la vulnérabilité elle-même, mais affecte la difficulté de casser le hachage) et de la qualité des valeurs de sel générées. L'absence d'une source de nombres aléatoires cryptographiquement sécurisée rend les valeurs de sel plus prévisibles, facilitant ainsi l'attaque.
Applications and systems that utilize the Apache::API::Password Perl module for password hashing, particularly those relying on older versions (0.0.0–0.5.2), are at risk. This includes web applications, scripting environments, and any system where user authentication is performed using this module.
• perl: Check installed version of Apache::API::Password using perl -V. If the version is less than 0.5.3, the system is vulnerable.
• perl: Verify the presence of Crypt::URandom and Bytes::Random::Secure modules using perl -MCrypt::URandom -e 'print @INC' and perl -MBytes::Random::Secure -e 'print @INC'. If either module is missing, the system may be vulnerable.
• perl: Inspect the code where Apache::API::Password is used to confirm that secure random number generators are being used for salt generation.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 14%)
La solution consiste à mettre à jour Apache::API::Password à la version 0.5.3 ou ultérieure. Cette version corrige la vulnérabilité en s'assurant que des sources de nombres aléatoires cryptographiquement sécurisées (Crypt::URandom ou Bytes::Random::Secure) sont utilisées pour générer les sels. Si une mise à jour immédiate n'est pas possible, envisagez d'évaluer la possibilité de migrer vers une bibliothèque de hachage de mots de passe plus robuste et largement utilisée. De plus, il est essentiel de revoir les politiques de mots de passe et d'envisager la mise en œuvre de l'authentification multifactorielle (MFA) pour atténuer le risque d'accès non autorisé, même si les mots de passe sont compromis.
Actualice a la versión 0.5.3 o superior de Apache::API::Password. Esta versión corrige la generación de números aleatorios inseguros para las sales de contraseñas, utilizando métodos criptográficamente seguros en lugar de la función `rand` de Perl.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un 'sel' est une valeur aléatoire ajoutée au mot de passe avant le hachage. Cela rend chaque mot de passe haché unique, même si deux utilisateurs ont le même mot de passe. Cela rend plus difficile l'utilisation de tables arc-en-ciel précalculées pour casser les mots de passe.
Si les mots de passe ont été hachés avec des versions vulnérables d'Apache::API::Password, les sels générés pourraient être prévisibles. Cela facilite la cassure des hachages, bien que cela ne garantisse pas le succès.
Si vous ne pouvez pas mettre à jour immédiatement, évaluez la possibilité de migrer vers une bibliothèque de hachage de mots de passe plus robuste et envisagez de mettre en œuvre l'authentification multifactorielle (MFA).
Il n'est pas strictement nécessaire de changer les mots de passe après la mise à jour, mais il est recommandé comme mesure de précaution, surtout s'il y a une suspicion que les mots de passe pourraient avoir été compromis.
Vous pouvez utiliser la commande cpan list Apache::API::Password pour vérifier la version installée. Si elle est antérieure à 0.5.3, vous êtes vulnérable.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.