漏洞信息(CVE-2014-5075)

一、漏洞 CVE-2014-5075 基础信息

漏洞标题

N/A

来源：AIGC 神龙大模型

漏洞描述信息

在Ignite实时抓包XMPP API 4.0.2之前，以及使用自定义SSLContext时，4.x版本和3.x版本，该API并未验证服务器主机名是否匹配X.509证书主题的CN或主题AltName字段中的域名，这允许中间人攻击者通过任意有效的证书欺骗SSL服务器。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Ignite Realtime Smack XMPP API 4.x before 4.0.2, and 3.x and 2.x when a custom SSLContext is used, does not verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via an arbitrary valid certificate.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

Ignite Realtime Smack XMPP API 权限许可和访问控制漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Ignite Realtime Smack XMPP API是IgniteRealtime社区的一个开源的XMPP（前称Jabber，即时通讯软件）客户端库。 Ignite Realtime Smack XMPP API中存在安全漏洞，该漏洞源于程序使用自定义SSLContext时，没有正确验证X.509证书。攻击者可借助任意有效的证书利用该漏洞实施中间人攻击，伪造数据，欺骗服务器。以下版本受到影响：Ignite Realtime Smack XMPP API 4.0.2之前4.x版本，3.x版本，2.x

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

加密问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2014-5075 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2014-5075 的情报信息

http://op-co.de/CVE-2014-5075.html x_refsource_CONFIRM
http://secunia.com/advisories/59915 third-party-advisory x_refsource_SECUNIA
http://www.securityfocus.com/bid/69064 vdb-entry x_refsource_BID
http://rhn.redhat.com/errata/RHSA-2015-1176.html vendor-advisory x_refsource_REDHAT
https://nvd.nist.gov/vuln/detail/CVE-2014-5075

一、 漏洞 CVE-2014-5075 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2014-5075 的公开POC

三、漏洞 CVE-2014-5075 的情报信息

一、漏洞 CVE-2014-5075 基础信息