漏洞标题
N/A
漏洞描述信息
在 Qt 4.7.0-rc1 之前,QSslSocket 可以识别 X.509 证书主题的通用名称字段中的任 何 IP 地址,这可能导致中间人攻击者通过由合法认证机构制作的构造性证书,欺骗任意的 SSL 服务器。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
QSslSocket in Qt before 4.7.0-rc1 recognizes a wildcard IP address in the subject's Common Name field of an X.509 certificate, which might allow man-in-the-middle attackers to spoof arbitrary SSL servers via a crafted certificate issued by a legitimate Certification Authority.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Qt 安全绕过漏洞
漏洞描述信息
Digia Qt是芬兰Digia公司的一套跨平台的C++应用程序开发框架。该框架可用于开发GUI程序。 Qt中存在安全绕过漏洞,该漏洞源于应用程序未正确验证包含‘CN’的SSL证书,该证书可作为通配符与IP地址一起使用。攻击者可利用该漏洞将信用的替换为恶意的SSL证书,执行中间人攻击或冒充信任的服务器,有助于进一步攻击。Qt 4.6版本和早期的版本中存在漏洞。
CVSS信息
N/A
漏洞类别
输入验证错误