PT-2021-11168 · Unknown · Jbcs Httpd
Publicado
2021-01-07
·
Atualizado
2021-01-14
·
CVE-2020-25680
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:N |
**Nome do software vulnerável e versões afetadas:
JBCS httpd versão 2.4.37 SP3
Descrição:
Foi encontrada uma falha no JBCS httpd, na qual ele utiliza um certificado SSL do worker de back-end com o ID do arquivo keystore definido como ‘unknown’. Isso faz com que a validação do certificado deixe de funcionar, permitindo que a conexão com o back-end seja estabelecida mesmo quando o CN e o nome do host não correspondem. A maior ameaça decorrente desse problema é à integridade dos dados.
Recomendações:
Para a versão 2.4.37 SP3, considere desativar o uso de certificados SSL do back-end worker com o ID do arquivo keystore definido como “desconhecido” até que um patch esteja disponível. Restrinja o acesso ao back-end para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jbcs Httpd