一、 漏洞 CVE-2020-13955 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
HttpUtils#getURLConnection方法禁用了 explicitly hostname 验证,这使得客户端 vulnerable 到中间人攻击。Calcite 内部使用此方法与Druid 和 Splunk 连接,因此在使用相应的 Calcite 适配器时可能发生信息泄露。该方法本身是一个 utility 类,因此人们可以使用它为其他应用程序创建有风险的 HTTPS 连接。从Apache Calcite 1.26开始, hostname 验证将使用默认的 JVM 信任store。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
HttpUtils#getURLConnection method disables explicitly hostname verification for HTTPS connections making clients vulnerable to man-in-the-middle attacks. Calcite uses internally this method to connect with Druid and Splunk so information leakage may happen when using the respective Calcite adapters. The method itself is in a utility class so people may use it to create vulnerable HTTPS connections for other applications. From Apache Calcite 1.26 onwards, the hostname verification will be performed using the default JVM truststore.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Calcite 访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Calcite是美国阿帕奇(Apache)基金会的一个开源框架,用于构建数据库和数据管理系统。 Apache Calcite 存在访问控制错误漏洞,该漏洞源于网络系统或产品未正确限制来自未授权角色的资源访问。该漏洞允许攻击者进行中间人攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-13955 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2020-13955 的情报信息