Platform
perl
Component
apache2-api
Opgelost in
0.5.3
CVE-2026-5088 is a vulnerability affecting versions 0.0.0 through 0.5.2 of the Apache::API::Password Perl module. This flaw allows the module to generate insecure random values for password salts when Crypt::URandom or Bytes::Random::Secure are unavailable, falling back to the insecure rand function. This can weaken password hashing and potentially compromise user credentials. Upgrade to version 0.5.3 to mitigate this risk.
De kwetsbaarheid CVE-2026-5088 in Apache::API::Password treft versies ouder dan 0.5.3. Wanneer de modules Crypt::URandom of Bytes::Random::Secure niet beschikbaar zijn, valt de bibliotheek terug op de ingebouwde Perl-functie rand() om de zouten (salts) te genereren die worden gebruikt bij het hashen van wachtwoorden. De functie rand() is niet geschikt voor cryptografische doeleinden, wat betekent dat de gegenereerde zouten voorspelbaar kunnen zijn. Een aanvaller die toegang krijgt tot de gehashte wachtwoorden zou deze voorspelbaarheid mogelijk kunnen gebruiken om de hashes te kraken en de oorspronkelijke wachtwoorden te herstellen, waardoor de veiligheid van gebruikersaccounts in gevaar komt. De ernst van deze kwetsbaarheid hangt af van de kritikaliteit van de gegevens die worden beschermd door de gehashte wachtwoorden en de waarschijnlijkheid dat een aanvaller deze zal uitbuiten.
Het exploiteren van deze kwetsbaarheid vereist toegang tot de code die Apache::API::Password gebruikt voor het hashen van wachtwoorden. Een aanvaller zou de gehashte wachtwoorden moeten verkrijgen en vervolgens brute-force-technieken of rainbow-tabellen moeten gebruiken om te proberen de hashes te kraken. De effectiviteit van deze aanval hangt af van de complexiteit van het gebruikte hashing-algoritme (wat niet de kwetsbaarheid zelf is, maar de moeilijkheidsgraad beïnvloedt om de hash te kraken) en de kwaliteit van de gegenereerde zoutwaarden. Het ontbreken van een cryptografisch veilige willekeurige getalgenerator maakt de zoutwaarden voorspelbaarder, waardoor de aanval wordt vergemakkelijkt.
Applications and systems that utilize the Apache::API::Password Perl module for password hashing, particularly those relying on older versions (0.0.0–0.5.2), are at risk. This includes web applications, scripting environments, and any system where user authentication is performed using this module.
• perl: Check installed version of Apache::API::Password using perl -V. If the version is less than 0.5.3, the system is vulnerable.
• perl: Verify the presence of Crypt::URandom and Bytes::Random::Secure modules using perl -MCrypt::URandom -e 'print @INC' and perl -MBytes::Random::Secure -e 'print @INC'. If either module is missing, the system may be vulnerable.
• perl: Inspect the code where Apache::API::Password is used to confirm that secure random number generators are being used for salt generation.
disclosure
Exploit Status
EPSS
0.05% (14% percentiel)
De oplossing is om Apache::API::Password bij te werken naar versie 0.5.3 of hoger. Deze versie corrigeert de kwetsbaarheid door ervoor te zorgen dat cryptografisch veilige willekeurige getalgeneratoren (Crypt::URandom of Bytes::Random::Secure) worden gebruikt om de zouten te genereren. Als een onmiddellijke update niet mogelijk is, overweeg dan om te evalueren of u kunt migreren naar een robuustere en wijdverspreide wachtwoord-hashing-bibliotheek. Bovendien is het essentieel om wachtwoordbeleid te beoordelen en de implementatie van multi-factor authenticatie (MFA) te overwegen om het risico op ongeautoriseerde toegang te verminderen, zelfs als wachtwoorden worden gecompromitteerd.
Actualice a la versión 0.5.3 o superior de Apache::API::Password. Esta versión corrige la generación de números aleatorios inseguros para las sales de contraseñas, utilizando métodos criptográficamente seguros en lugar de la función `rand` de Perl.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een 'zout' is een willekeurige waarde die aan het wachtwoord wordt toegevoegd voordat het wordt gehasht. Dit maakt elk gehasht wachtwoord uniek, zelfs als twee gebruikers hetzelfde wachtwoord hebben. Dit maakt het moeilijker om gebruik te maken van vooraf berekende rainbow-tabellen om wachtwoorden te kraken.
Als wachtwoorden zijn gehasht met kwetsbare versies van Apache::API::Password, kunnen de gegenereerde zouten voorspelbaar zijn. Dit maakt het kraken van de hashes gemakkelijker, hoewel het geen succes garandeert.
Als u niet onmiddellijk kunt updaten, overweeg dan om te migreren naar een robuustere wachtwoord-hashing-bibliotheek en de implementatie van multi-factor authenticatie (MFA) te overwegen.
Het is niet strikt noodzakelijk om wachtwoorden te wijzigen na de update, maar het wordt aanbevolen als voorzorgsmaatregel, vooral als er een vermoeden is dat wachtwoorden mogelijk zijn gecompromitteerd.
U kunt de opdracht cpan list Apache::API::Password gebruiken om de geïnstalleerde versie te controleren. Als deze vóór 0.5.3 ligt, bent u kwetsbaar.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.