JVNDB-2026-009698

KTATのhttp::sessionにおける複数の脆弱性

PerlのHTTP::Sessionバージョン0.53以前では、不安全に生成されたセッションIDを使用することがデフォルトとなっています。HTTP::SessionはデフォルトでHTTP::Session::ID::SHA1を使用して、組み込みのrand関数、高精度エポック時間、およびPIDをシードとしたSHA-1ハッシュでセッションIDを生成します。PIDは限られた範囲の数字から取得され、エポック時間はHTTP Dateヘッダーから漏れない場合でも推測可能です。組み込みのrand関数は暗号学的な用途には適していません。この配布パッケージには同様の欠陥を含むHTTP::Session::ID::MD5も含まれており、こちらはMD5ハッシュを用いてセッションIDを生成します。

KTAT

• http::session 0.53 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Openwall

• Openwall mailing list archives : oss-security - CVE-2026-3256: HTTP::Session versions through 0.53 for Perl defaults to using insecurely generated session ids

The Perl Foundation

• CPAN Security Group (CPANSec) : CPAN Author’s Guide to Random Data for Security  ―  CPAN Security Group (CPANSec)

1. 暗号における脆弱な PRNG の使用(CWE-338) [その他]
2. 予測可能な数字や識別子の生成(CWE-340) [その他]

1. CVE-2026-3256

1. National Vulnerability Database (NVD) : CVE-2026-3256
2. 関連文書 : lib/HTTP/Session/ID/SHA1.pm - metacpan.org
3. 関連文書 : lib/HTTP/Session/ID/MD5.pm - metacpan.org

• [2026年04月02日]
    掲載