关键漏洞信息 漏洞描述 CVE ID: CVE-2023-40920 受影响的模块: Catalyst::Authentication::Credential::HTTP 受影响版本: 从 0.86 到 1.018 问题类型: - CWE-340: 生成可预测的数字或标识符 - CWE-338: 使用密码学上弱的伪随机数生成器 漏洞详情 Data::UUID 的问题: - 不使用强加密源生成 UUIDs。 - 返回 v3 UUIDs,这些 UUIDs 是基于已知信息生成的,不适用于安全场景(根据 RFC 9562)。 正确的做法: - 非常量应从强加密源生成,符合 RFC 7516 的要求。 参考链接 GitHub Commit GitHub Pull Request CPAN Release IETF RFC 9562 IETF RFC 7516 Section 5.2.2