Vulnerabilidad en módulo HTTPS en libwww-perl (LWP) (CVE-2011-0633)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
13/05/2011
Última modificación:
11/04/2025
Descripción
La Red:: El módulo HTTPS en libwww-perl (LWP) antes de la v6.00, como los utilizados en WWW:: Mechanize, LWP:: UserAgent, y otros productos, cuando se ejecuta en entornos que no establecen la cabecera If-ssl-cert-Subject , no permite la plena validación de certificados SSL de forma predeterminada, que permite a atacantes remotos suplantar a servidoresa través de ataques de hombre en el mediocon nombres que no están debidamente validados. NOTA: se podría argumentar que se trata de una limitación de diseño de la Red:: HTTPS API, e implementaciones separadas deberían tener asignadas independientemente identificadores CVE para no tener esta limitación. Sin embargo, debido a que esta API fue modificada con LWP, se les asigna un solo identificador CVE.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:gisle_aas:libwww-perl:0.01:*:*:*:*:*:*:* | ||
cpe:2.3:a:gisle_aas:libwww-perl:0.02:*:*:*:*:*:*:* | ||
cpe:2.3:a:gisle_aas:libwww-perl:0.03:*:*:*:*:*:*:* | ||
cpe:2.3:a:gisle_aas:libwww-perl:0.04:*:*:*:*:*:*:* | ||
cpe:2.3:a:gisle_aas:libwww-perl:5.00:*:*:*:*:*:*:* | ||
cpe:2.3:a:gisle_aas:libwww-perl:5.01:*:*:*:*:*:*:* | ||
cpe:2.3:a:gisle_aas:libwww-perl:5.02:*:*:*:*:*:*:* | ||
cpe:2.3:a:gisle_aas:libwww-perl:5.03:*:*:*:*:*:*:* | ||
cpe:2.3:a:gisle_aas:libwww-perl:5.04:*:*:*:*:*:*:* | ||
cpe:2.3:a:gisle_aas:libwww-perl:5.05:*:*:*:*:*:*:* | ||
cpe:2.3:a:gisle_aas:libwww-perl:5.06:*:*:*:*:*:*:* | ||
cpe:2.3:a:gisle_aas:libwww-perl:5.07:*:*:*:*:*:*:* | ||
cpe:2.3:a:gisle_aas:libwww-perl:5.08:*:*:*:*:*:*:* | ||
cpe:2.3:a:gisle_aas:libwww-perl:5.09:*:*:*:*:*:*:* | ||
cpe:2.3:a:gisle_aas:libwww-perl:5.10:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://cpansearch.perl.org/src/GAAS/libwww-perl-6.02/Changes
- http://vttynotes.blogspot.com/2010/12/man-in-middle-fun-with-perl-lwp.html
- http://vttynotes.blogspot.com/2011/03/quick-note-on-lwp-and-perl-security-cve.html
- http://cpansearch.perl.org/src/GAAS/libwww-perl-6.02/Changes
- http://vttynotes.blogspot.com/2010/12/man-in-middle-fun-with-perl-lwp.html
- http://vttynotes.blogspot.com/2011/03/quick-note-on-lwp-and-perl-security-cve.html