CRITICAL🇬🇧 English

CVE-2014-125112

RCE w Plack::Middleware::Session::Cookie przez niebezpieczną deserializację cookie

CVSS 9.8v3.1pub. 2026-03-26upd. 2026-05-06

Biblioteka Plack::Middleware::Session::Cookie w wersjach do 0.21 dla języka Perl zawiera krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE). Atakujący może wykonać dowolny kod na serwerze poprzez spreparowane dane cookie, gdy brak jest mechanizmu podpisywania cookie.

Pokaż oryginał (EN)

Plack::Middleware::Session::Cookie versions through 0.21 for Perl allows remote code execution. Plack::Middleware::Session::Cookie versions through 0.21 has a security vulnerability where it allows an attacker to execute arbitrary code on the server during deserialization of the cookie data, when there is no secret used to sign the cookie.

🤖 Analiza AI
Jak działa

Podatność wynika z braku weryfikacji integralności danych przechowywanych w cookie po stronie serwera — gdy nie skonfigurowano sekretu (secret) do podpisywania cookie. Atakujący może dostarczyć spreparowane, złośliwe dane w cookie, które podczas deserializacji po stronie serwera prowadzą do wykonania arbitralnego kodu. Jest to klasyczny atak na niebezpieczną deserializację (CWE-565), gdzie dane kontrolowane przez użytkownika są przetwarzane bez odpowiedniej walidacji.

Skutki

Atakujący zdalnie, bez uwierzytelnienia, może wykonać dowolny kod na serwerze, co w praktyce oznacza pełne przejęcie kontroli nad aplikacją i potencjalnie całym systemem, w tym uzyskanie dostępu do danych, modyfikację treści lub instalację złośliwego oprogramowania.

Mitygacja

Należy zaktualizować pakiet Plack-Middleware-Session do wersji 0.23 lub nowszej (dostępnej na CPAN). Zgodnie z referencjami producenta wersja 0.23-TRIAL adresuje tę podatność. Dodatkowo należy skonfigurować sekret do podpisywania cookie, co uniemożliwia manipulację danymi sesji przez atakujących.

Kogo dotyczy

Plack::Middleware::Session::Cookie w wersjach do 0.21 (włącznie) dla języka Perl — dotyczy wdrożeń, w których nie skonfigurowano sekretu do podpisywania cookie.

Uwagi

Podatność dotyczy wyłącznie konfiguracji bez zdefiniowanego sekretu podpisującego cookie. Informacja o podatności została opublikowana na liście oss-security w dniu 2026-03-26.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Miyagawa Plack\

    APP
    Miyagawa
    \
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2026-7381CRITICAL9.1PL ✓ten sam produkt

Plack::Middleware::XSendfile — kontrola ścieżki pliku przez klienta (path rewriting)

CVE-2026-40560HIGH7.5ten sam vendor

Starman versions before 0.4018 for Perl allows HTTP Request Smuggling via Improper Header Precedence. Starman...