製品・ソフトウェアに関する情報

JVN脆弱性詳細

PerlDancerのDancer::Session::Abstractにおける複数の脆弱性

Title	PerlDancerのDancer::Session::Abstractにおける複数の脆弱性
Summary	Dancer::Session::Abstractのバージョン1.3522までのPerlは、セッションIDを安全でない方法で生成します。セッションIDは、絶対パス名の文字コードの合計とプロセスID、エポック時間、組み込みのrand()関数の呼び出し（0から9990億までの数値を返します）を足し合わせ、その結果を3回連結して生成されます。パス名は攻撃者によって知られるか推測される可能性があり、特に標準インストール場所でDancerを使用して書かれたアプリケーションで顕著です。エポック時間も攻撃者によって推測される可能性があり、HTTPヘッダーで漏洩することがあります。プロセスIDは限られた数値の範囲から来ており、ワーカーは連続したプロセスIDを持つことがあります。組み込みのrand()関数は32ビットでシードされており、セキュリティ用途には不適切であるとされています。予測可能なセッションIDは攻撃者にシステムへのアクセスを許す可能性があります。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 30, 2026, midnight
Registration Date	May 7, 2026, 11:29 a.m.
Last Update	May 7, 2026, 11:29 a.m.

CVSS3.0 : 警告
Score	5.9
Vector	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H

Affected System

PerlDancer

Dancer::Session::Abstract 1.3522 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-5080	https://www.cve.org/CVERecord?id=CVE-2026-5080
National Vulnerability Database (NVD)
2	CVE-2026-5080	https://nvd.nist.gov/vuln/detail/CVE-2026-5080

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-338	https://cwe.mitre.org/data/definitions/338.html
2	CWE-340	https://cwe.mitre.org/data/definitions/340.html

ベンダー情報

No	Name	URL
Openwall mailing list archives
1	oss-security - CVE-2026-5080: Dancer::Session::Abstract versions through 1.3522 for Perl generates session ids insecurely	http://www.openwall.com/lists/oss-security/2026/04/30/19

その他

No	Name	URL
関連文書
1	Client Challenge (https://metacpan.org/release/BIGPRESH/Dancer-1.3522/source/lib/Dancer/Session/Abstract.pm#L85-102)	https://metacpan.org/release/BIGPRESH/Dancer-1.3522/source/lib/Dancer/Session/Abstract.pm#L85-102
2	Client Challenge (https://security.metacpan.org/patches/D/Dancer/1.3522/CVE-2026-5080-r1.patch)	https://security.metacpan.org/patches/D/Dancer/1.3522/CVE-2026-5080-r1.patch

Change Log

No	Changed Details	Date of change
1	[2026年05月07日] 掲載	May 7, 2026, 11:29 a.m.

NVD Vulnerability Information

CVE-2026-5080

Summary	Dancer::Session::Abstract versions through 1.3522 for Perl generates session ids insecurely. The session id is generated from summing the character codepoints of the absolute pathname with the process id, the epoch time and calls to the built-in rand() function to return a number between 0 and 999-billion, and concatenating that result three times. The path name might be known or guessed by an attacker, especially for applications known to be written using Dancer with standard installation locations. The epoch time can be guessed by an attacker, and may be leaked in the HTTP header. The process id comes from a small set of numbers, and workers may have sequential process ids. The built-in rand() function is seeded with 32-bits and is considered unsuitable for security applications. Predictable session ids could allow an attacker to gain access to systems.
Publication Date	April 30, 2026, 9:16 p.m.
Registration Date	May 1, 2026, 4:07 a.m.
Last Update	May 5, 2026, 11:54 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:perldancer:dancer\:\:session\:\:abstract::::::perl::*			1.3522

Related information, measures and tools

No	URL	refsource
1	https://metacpan.org/release/BIGPRESH/Dancer-1.3522/source/lib/Dancer/Session/Abstract.pm#L85-102	9b29abf9-4ab0-4765-b253-1875cd9b441e
2	https://security.metacpan.org/patches/D/Dancer/1.3522/CVE-2026-5080-r1.patch	9b29abf9-4ab0-4765-b253-1875cd9b441e
3	http://www.openwall.com/lists/oss-security/2026/04/30/19	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-338	暗号における脆弱な PRNG の使用	https://cwe.mitre.org/data/definitions/338.html
2	CWE-340	予測可能な数字や識別子の生成	https://cwe.mitre.org/data/definitions/340.html