Plataforma
perl
Componente
apache2-api
Corrigido em
0.5.3
CVE-2026-5088 is a vulnerability affecting versions 0.0.0 through 0.5.2 of the Apache::API::Password Perl module. This flaw allows the module to generate insecure random values for password salts when Crypt::URandom or Bytes::Random::Secure are unavailable, falling back to the insecure rand function. This can weaken password hashing and potentially compromise user credentials. Upgrade to version 0.5.3 to mitigate this risk.
A vulnerabilidade CVE-2026-5088 em Apache::API::Password afeta versões anteriores a 0.5.3. Se os módulos Crypt::URandom ou Bytes::Random::Secure não estiverem disponíveis, a biblioteca recorre à função rand() do Perl para gerar os valores de sal (salt) utilizados no hash de senhas. A função rand() não é adequada para fins criptográficos, o que significa que os valores de sal gerados podem ser previsíveis. Um atacante que obtenha acesso às senhas hasheadas poderia potencialmente usar essa previsibilidade para quebrar o hash e recuperar as senhas originais, comprometendo a segurança das contas de usuário. A gravidade desta vulnerabilidade depende da criticidade dos dados protegidos pelas senhas hasheadas e da probabilidade de que um atacante possa explorá-la.
A exploração desta vulnerabilidade requer acesso ao código que utiliza o Apache::API::Password para o hash de senhas. Um atacante precisaria obter as senhas hasheadas e, posteriormente, utilizar técnicas de força bruta ou tabelas rainbow para tentar quebrar os hashes. A eficácia deste ataque depende da complexidade do algoritmo de hash utilizado (que não é a vulnerabilidade em si, mas impacta na dificuldade de quebrar o hash) e da qualidade dos valores de sal gerados. A falta de uma fonte de números aleatórios criptograficamente segura torna os valores de sal mais previsíveis, facilitando o ataque.
Applications and systems that utilize the Apache::API::Password Perl module for password hashing, particularly those relying on older versions (0.0.0–0.5.2), are at risk. This includes web applications, scripting environments, and any system where user authentication is performed using this module.
• perl: Check installed version of Apache::API::Password using perl -V. If the version is less than 0.5.3, the system is vulnerable.
• perl: Verify the presence of Crypt::URandom and Bytes::Random::Secure modules using perl -MCrypt::URandom -e 'print @INC' and perl -MBytes::Random::Secure -e 'print @INC'. If either module is missing, the system may be vulnerable.
• perl: Inspect the code where Apache::API::Password is used to confirm that secure random number generators are being used for salt generation.
disclosure
Status do Exploit
EPSS
0.05% (percentil 14%)
A solução é atualizar o Apache::API::Password para a versão 0.5.3 ou posterior. Esta versão corrige a vulnerabilidade ao garantir que sejam utilizadas fontes de números aleatórios criptograficamente seguras (Crypt::URandom ou Bytes::Random::Secure) para gerar os sais. Se não for possível atualizar imediatamente, recomenda-se avaliar a possibilidade de migrar para uma biblioteca de hash de senhas mais robusta e amplamente utilizada. Além disso, é crucial rever as políticas de senhas e considerar a implementação de autenticação multifator (MFA) para mitigar o risco de acesso não autorizado, mesmo que as senhas sejam comprometidas.
Actualice a la versión 0.5.3 o superior de Apache::API::Password. Esta versión corrige la generación de números aleatorios inseguros para las sales de contraseñas, utilizando métodos criptográficamente seguros en lugar de la función `rand` de Perl.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um 'sal' é um valor aleatório que é adicionado à senha antes de hasheá-la. Isso torna cada senha hasheada única, mesmo que dois usuários tenham a mesma senha. Isso dificulta o uso de tabelas rainbow pré-calculadas para quebrar as senhas.
Se as senhas foram hasheadas com versões vulneráveis do Apache::API::Password, os valores de sal gerados poderiam ser previsíveis. Isso facilita a quebra dos hashes, embora não garanta o sucesso.
Se não puder atualizar imediatamente, avalie a possibilidade de migrar para uma biblioteca de hash de senhas mais robusta e considere implementar autenticação multifator (MFA).
Não é estritamente necessário alterar as senhas após a atualização, mas é recomendado como medida de precaução, especialmente se houver suspeita de que as senhas possam ter sido comprometidas.
Você pode usar o comando cpan list Apache::API::Password para verificar a versão instalada. Se for anterior a 0.5.3, você está vulnerável.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.