Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en módulo HTTPS en libwww-perl (LWP) (CVE-2011-0633)

Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
13/05/2011
Última modificación:
11/04/2025

Descripción

La Red:: El módulo HTTPS en libwww-perl (LWP) antes de la v6.00, como los utilizados en WWW:: Mechanize, LWP:: UserAgent, y otros productos, cuando se ejecuta en entornos que no establecen la cabecera If-ssl-cert-Subject , no permite la plena validación de certificados SSL de forma predeterminada, que permite a atacantes remotos suplantar a servidoresa través de ataques de hombre en el mediocon nombres que no están debidamente validados. NOTA: se podría argumentar que se trata de una limitación de diseño de la Red:: HTTPS API, e implementaciones separadas deberían tener asignadas independientemente identificadores CVE para no tener esta limitación. Sin embargo, debido a que esta API fue modificada con LWP, se les asigna un solo identificador CVE.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:gisle_aas:libwww-perl:0.01:*:*:*:*:*:*:*
cpe:2.3:a:gisle_aas:libwww-perl:0.02:*:*:*:*:*:*:*
cpe:2.3:a:gisle_aas:libwww-perl:0.03:*:*:*:*:*:*:*
cpe:2.3:a:gisle_aas:libwww-perl:0.04:*:*:*:*:*:*:*
cpe:2.3:a:gisle_aas:libwww-perl:5.00:*:*:*:*:*:*:*
cpe:2.3:a:gisle_aas:libwww-perl:5.01:*:*:*:*:*:*:*
cpe:2.3:a:gisle_aas:libwww-perl:5.02:*:*:*:*:*:*:*
cpe:2.3:a:gisle_aas:libwww-perl:5.03:*:*:*:*:*:*:*
cpe:2.3:a:gisle_aas:libwww-perl:5.04:*:*:*:*:*:*:*
cpe:2.3:a:gisle_aas:libwww-perl:5.05:*:*:*:*:*:*:*
cpe:2.3:a:gisle_aas:libwww-perl:5.06:*:*:*:*:*:*:*
cpe:2.3:a:gisle_aas:libwww-perl:5.07:*:*:*:*:*:*:*
cpe:2.3:a:gisle_aas:libwww-perl:5.08:*:*:*:*:*:*:*
cpe:2.3:a:gisle_aas:libwww-perl:5.09:*:*:*:*:*:*:*
cpe:2.3:a:gisle_aas:libwww-perl:5.10:*:*:*:*:*:*:*