漏洞标题
N/A
漏洞描述信息
Apache Commons HttpClient 3.x,在Amazon Flexible Payments Service(FPS)商家Java SDK和其他产品中使用,并未验证服务器主机名与X.509证书主体的Common Name(CN)或主体AltName字段中的域名匹配,这允许中间人攻击者通过任意有效的证书来伪造SSL服务器。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Apache Commons HttpClient 3.x, as used in Amazon Flexible Payments Service (FPS) merchant Java SDK and other products, does not verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via an arbitrary valid certificate.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache Commons HttpClient Amazon FPS 输入验证错误漏洞
漏洞描述信息
HttpClient是Apache Jakarta Common下的子项目,用来提供高效的支持HTTP协议的客户端编程工具包。 Apache Commons HttpClient 3.x版本使用在Amazon Flexible Payments Service (FPS) merchant Java SDK以及其他产品中时存在漏洞,该漏洞源于在主题Common Name(CN)或X.509证书的subjectAltName字段中,程序没有对服务器主机名与域名的匹配进行校验。中间人攻击者利用该漏洞通过任意有
CVSS信息
N/A
漏洞类别
信任管理问题