一、 漏洞 CVE-2024-58134 基础信息
漏洞信息
                                        # 用于Perl的Mojolicious版本从0.999922到9.39默认使用一个硬编码字符串或应用程序的类名作为HMAC会话密钥

## 概述
Mojolicious 版本从 0.999922 到 9.39 使用默认的 HMAC 会话密钥,该密钥是硬编码的字符串或应用类名称。这使得攻击者可以伪造会话 cookie。

## 影响版本
- Mojolicious 版本 0.999922 到 9.39

## 细节
应用默认使用硬编码的字符串或应用类名称作为 HMAC 会话密钥,这种可预测的默认密钥可以被攻击者利用来伪造 session cookies。如果攻击者知道或猜到了密钥,他们就可以计算出有效的 HMAC 签名,篡改或劫持其他用户的会话。

## 影响
攻击者可以伪造会话 cookie,从而篡改或劫持其他用户的会话,危及应用的安全性。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Mojolicious versions from 0.999922 through 9.40 for Perl uses a hard coded string, or the application's class name, as a HMAC session secret by default
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Mojolicious versions from 0.999922 through 9.40 for Perl uses a hard coded string, or the application's class name, as a HMAC session secret by default. These predictable default secrets can be exploited to forge session cookies. An attacker who knows or guesses the secret could compute valid HMAC signatures for the session cookie, allowing them to tamper with or hijack another user’s session.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
使用硬编码的密码学密钥
来源:美国国家漏洞数据库 NVD
漏洞标题
Mojolicious 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Mojolicious是基于 Perl 的实时网络框架。 Mojolicious 9.39及之前版本存在安全漏洞,该漏洞源于使用硬编码字符串或应用程序类名作为HMAC会话密钥,可能导致会话伪造。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-58134 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-58134 的情报信息

  • 标题: pad session values to 1025 bytes by default by jberger · Pull Request #1791 · mojolicious/mojo · GitHub -- 🔗来源链接

    标签:

    pad session values to 1025 bytes by default by jberger · Pull Request #1791 · mojolicious/mojo · GitHub

  • 标题: Secure by default sessions by stigtsp · Pull Request #2200 · mojolicious/mojo · GitHub -- 🔗来源链接

    标签:

    Secure by default sessions by stigtsp · Pull Request #2200 · mojolicious/mojo · GitHub

  • 标题: Baking Mojolicious cookies -- 🔗来源链接

    标签:

    Baking Mojolicious cookies

  • 标题: Baking Mojolicious Cookies revisited: a case study of solving security problems through security by obscurity | by Jakub Kramarz | SecuRing | Medium -- 🔗来源链接

    标签:

    Baking Mojolicious Cookies revisited: a case study of solving security problems through security by obscurity | by Jakub Kramarz | SecuRing | Medium

  • 标题: lib/Mojolicious.pm - metacpan.org -- 🔗来源链接

    标签:

    lib/Mojolicious.pm - metacpan.org

  • 标题: Add support for Mojolicious session cookies by jkramarz · Pull Request #4090 · hashcat/hashcat · GitHub -- 🔗来源链接

    标签:

    Add support for Mojolicious session cookies by jkramarz · Pull Request #4090 · hashcat/hashcat · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2024-58134