脆弱性情報
高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
cpp-httplib: TLS certificate chain verification bypassed for IP-literal hosts on Mbed TLS and wolfSSL backends
脆弱性説明
cpp-httplib is a C++11 single-file header-only cross platform HTTP/HTTPS library. In affected Mbed TLS backend versions from 0.31.0 through 0.46.1 and wolfSSL backend versions from 0.33.0 through 0.46.1, when cpp-httplib is built with CPPHTTPLIB_MBEDTLS_SUPPORT or CPPHTTPLIB_WOLFSSL_SUPPORT and a client connects to an IP-literal host with server certificate verification enabled, SSLClient and Client in HTTPS mode skip certificate chain validation and WebSocketClient on the Mbed TLS backend skips verification altogether, allowing a man-in-the-middle attacker positioned to intercept traffic to present a crafted certificate and read or modify the traffic. This issue is fixed in version 0.47.0.
CVSS情報
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
脆弱性タイプ
证书验证不恰当
脆弱性タイトル
yhirose cpp-httplib 加密问题漏洞
脆弱性説明
yhirose cpp-httplib是yhirose个人开发者开源的一款使用C++语言编写的HTTP/HTTPS服务器和客户端库。 yhirose cpp-httplib存在加密问题漏洞,该漏洞源于使用Mbed TLS或wolfSSL后端时,当客户端连接到IP文字主机且服务器证书验证开启时,SSLClient和Client在HTTPS模式下会跳过证书链验证,Mbed TLS后端的WebSocketClient则完全跳过验证,导致中间人攻击者可以通过拦截流量并出示精心构造的证书来读取或修改流量。以下版本受
CVSS情報
N/A
脆弱性タイプ
N/A