Vulnerabilidad en Amazon Elastic Load Balancing API Tools (CVE-2012-5781)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
04/11/2012
Última modificación:
11/04/2025
Descripción
Amazon Elastic Load Balancing API Tools, no comprueba que el nombre del servidor coincide con un nombre de dominio en el nombre común (CN) del sujeto o con el campo subjectAltName del certificado X.509, lo que permite falsificar servidores SSL a atacantes man-in-the-middle mediante un certificado válido de su elección. Se trata de un problema relacionado con una sobre-escritura del X509TrustManager del JDK por defecto.
Impacto
Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:amazon:elastic_load_balancing:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:amazon:elastic_load_balancing:1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:amazon:elastic_load_balancing:1.0:1:*:*:*:*:*:* | ||
| cpe:2.3:a:amazon:elastic_load_balancing:1.0.3.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:amazon:elastic_load_balancing:1.0.9.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:amazon:elastic_load_balancing:1.0.10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:amazon:elastic_load_balancing:1.0.11.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:amazon:elastic_load_balancing:1.0.12.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:amazon:elastic_load_balancing:1.0.14.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:amazon:elastic_load_balancing:1.0.15.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:amazon:elastic_load_balancing:1.0.17.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página