漏洞标题
N/A
漏洞描述信息
Glance的Python客户端库(python-glanceclient)在0.10.0之前未正确检查preverify_ok值,这导致服务器主机名无法与X.509证书的主题的通用名称(CN)或主题AltName字段中的域名进行验证,从而允许中间人攻击者通过任意有效的证书来欺骗SSL服务器。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The Python client library for Glance (python-glanceclient) before 0.10.0 does not properly check the preverify_ok value, which prevents the server hostname from being verified with a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate and allows man-in-the-middle attackers to spoof SSL servers via an arbitrary valid certificate.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
glance 输入验证错误漏洞
漏洞描述信息
glance是nlpweb开源的一个字典可视化存储库。 glance 0.10.0之前版本存在输入验证错误漏洞。该漏洞源于程序没有正确地检验preverify_ok值,从而导致服务器主机名无法对主题的Common Name中的域名或X.509证书的subjectAltName字段中的域名进行验证。中间人攻击者可借助任意有效证书利用该漏洞欺骗SSL服务器。
CVSS信息
N/A
漏洞类别
输入验证错误