CVE-2020-11050

Java-WebSocket versões 1.4.1 e anteriores

O problema está relacionado a uma validação inadequada de certificados com incompatibilidade de host, em que o WebSocketClient não realiza a validação do nome do host via SSL. Isso significa que certificados SSL de outros hosts são aceitos, desde que sejam confiáveis. Para explorar essa vulnerabilidade, um invasor precisa realizar um ataque man-in-the-middle (MITM) entre um aplicativo Java que utilize o Java-WebSocket Client e um servidor WebSocket ao qual ele esteja se conectando. Normalmente, o TLS protege usuários e sistemas contra ataques MITM, mas não consegue fazê-lo se certificados de outros hosts confiáveis forem aceitos pelo cliente.

Para as versões 1.4.1 e anteriores do Java-WebSocket, atualize para a versão 1.5.0 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso de certificados SSL de outros hosts confiáveis até que um patch esteja disponível. Restrinja o acesso ao WebSocketClient para minimizar o risco de exploração. Evite usar o WebSocketClient em ambientes onde ataques MITM sejam uma preocupação significativa até que o problema seja resolvido.