漏洞总结:CVE-2025-15604 1. 漏洞概述 CVE ID: CVE-2025-15604 标题: Amon2 versions before 6.17 for Perl use an insecure random_string implementation for security functions 描述: Amon2 6.17 之前的版本在 Perl 中使用不安全的 实现用于安全功能。该函数可能被用于生成 session ids、用于签名或加密 cookie 会话数据的密钥,以及用于跨站请求伪造 (CSRF) 保护的令牌。 CWE: CWE-340: Generation of Predictable Numbers or Identifiers (生成可预测的数字或标识符) CWE-338: Use of Cryptographically Weak Pseudo-Random Number Generator (使用加密弱的伪随机数生成器) 2. 影响范围 Vendor (厂商): TOKUHIROM Product (产品): Amon2 Affected Versions (受影响版本): 6.17 之前的所有版本 (包括 6.06 至 6.16 版本,以及更早版本)。 3. 修复方案 升级至 Amon2 6.17 或更高版本。 参考链接: 4. 漏洞原理/代码逻辑 6.06 至 6.16 版本: 函数尝试从 读取字节。如果不可用,则通过连接一个 SHA-1 哈希来生成字节,该哈希的种子包含内置的 函数、PID 和高精度纪元时间。 PID 来自少量数字。 纪元时间可被猜测(如果未从 HTTP Date 头泄露)。 内置的 函数不适合加密用途。 6.06 之前版本: 如果 不可用,则没有回退机制。 6.04 之前版本**: 函数直接使用内置的 函数生成混合大小写字母数字字符串。