CVE-2026-2439

Concierge::Sessions versions from 0.8.1 before 0.8.5 for Perl generate insecure session ids. The generate_session_id function in Concierge::Sessions::Base defaults to using the uuidgen command to generate a UUID, with a fallback to using Perl's built-in rand function. Neither of these methods are secure, and attackers are able to guess session_ids that can grant them access to systems. Specifically, * There is no warning when uuidgen fails. The software can be quietly using the fallback rand() function with no warnings if the command fails for any reason. * The uuidgen command will generate a time-based UUID if the system does not have a high-quality random number source, because the call does not explicitly specify the --random option. Note that the system time is shared in HTTP responses. * UUIDs are identifiers whose mere possession grants access, as per RFC 9562. * The output of the built-in rand() function is predictable and unsuitable for security applications.

Concierge::Sessions versions from 0.8.1 before 0.8.5 for Perl generate insecure session ids. The generate_session_id function in Concierge::Sessions::Base defaults to using the uuidgen command to generate a UUID, with a fallback to using Perl's built-in rand function. Neither of these methods are secure, and attackers are able to guess session_ids that can grant them access to systems. Specifically, * There is no warning when uuidgen fails. The software can be quietly using the fallback rand() function with no warnings if the command fails for any reason. * The uuidgen command will generate a time-based UUID if the system does not have a high-quality random number source, because the call does not explicitly specify the --random option. Note that the system time is shared in HTTP responses. * UUIDs are identifiers whose mere possession grants access, as per RFC 9562. * The output of the built-in rand() function is predictable and unsuitable for security applications.

Las versiones de Concierge::Sessions desde la 0.8.1 anteriores a la 0.8.5 para Perl generan identificadores de sesión inseguros. La función generate_session_id en Concierge::Sessions::Base por defecto utiliza el comando uuidgen para generar un UUID, con un mecanismo de respaldo que usa la función rand incorporada de Perl. Ninguno de estos métodos es seguro, y los atacantes pueden adivinar los identificadores de sesión que pueden otorgarles acceso a los sistemas. Específicamente, * No hay ninguna advertencia cuando uuidgen falla. El software puede estar utilizando silenciosamente la función de respaldo rand() sin advertencias si el comando falla por cualquier motivo. * El comando uuidgen generará un UUID basado en el tiempo si el sistema no tiene una fuente de números aleatorios de alta calidad, porque la llamada no especifica explícitamente la opción --random. Tenga en cuenta que la hora del sistema se comparte en las respuestas HTTP. * Los UUID son identificadores cuya mera posesión otorga acceso, según la RFC 9562. * La salida de la función rand() incorporada es predecible e inadecuada para aplicaciones de seguridad.