Vulnerabilidad en módulo HTTPS en libwww-perl (LWP) (CVE-2011-0633)

Gravedad CVSS v2.0:

MEDIA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

13/05/2011

Última modificación:

11/04/2025

Descripción

La Red:: El módulo HTTPS en libwww-perl (LWP) antes de la v6.00, como los utilizados en WWW:: Mechanize, LWP:: UserAgent, y otros productos, cuando se ejecuta en entornos que no establecen la cabecera If-ssl-cert-Subject , no permite la plena validación de certificados SSL de forma predeterminada, que permite a atacantes remotos suplantar a servidoresa través de ataques de hombre en el mediocon nombres que no están debidamente validados. NOTA: se podría argumentar que se trata de una limitación de diseño de la Red:: HTTPS API, e implementaciones separadas deberían tener asignadas independientemente identificadores CVE para no tener esta limitación. Sin embargo, debido a que esta API fue modificada con LWP, se les asigna un solo identificador CVE.

Impacto

Vector 2.0

AV:N/AC:M/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0

4.30

Gravedad 2.0

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:gisle_aas:libwww-perl:0.01:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.02:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.03:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.04:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.00:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.01:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.02:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.03:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.04:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.05:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.06:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.07:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.08:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.09:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.10:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:gisle_aas:libwww-perl:0.01:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.02:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.03:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.04:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.00:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.01:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.02:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.03:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.04:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.05:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.06:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.07:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.08:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.09:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.10:::::::*

Vulnerabilidad en módulo HTTPS en libwww-perl (LWP) (CVE-2011-0633)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información