CWE-297 · Некорректная проверка соответствия сертификата и хоста

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-297ВариантНеполный

Абстракция: Вариант

Статус: Неполный

Источник ↗

Некорректная проверка соответствия сертификата и хоста

Продукт взаимодействует с хостом, предоставляющим сертификат, однако не обеспечивает должной проверки фактической связи сертификата с этим хостом.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2025-46408В AVTECH EagleEyes 2.0.0 обнаружена уязвимость, связанная с некорректной проверкой имени хоста при установлении HTTPS-соединения. Уязвимость позволяет злоумышленнику выполнить MITM-атаку. Для исправления необходимо включить строгую проверку имени хоста. Источники: - [1] https://github.com/shinyColumn/CVE-2025-46408 Источники: - [1] https://github.com/shinyColumn/CVE-2025-46408

CVE-2026-26214Galaxy FDS Android SDK (XiaoMi/galaxy-fds-sdk-android) версия 3.0.8 и предварительная отключите проверку имени хоста TLS при включении HTTPS (конфигурация по умолчанию). В GalaxyFDSClientImpl.createHttpClient() SDK настраивал Apache HttpClient с SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER, который принимает любой действительный сертификат TLS независимо от несоответствия имени хоста. Поскольку HTTPS включен по умолчанию в FDSClientConfiguration, все приложения, использующие SDK с настройками по умолчанию, затрагиваются. Эта уязвимость позволяет злоумышленнику перехватывать и изменять SDK-сообщения в конечные точки облачного хранилища Xiaomi FDS, потенциально раскрывая учетные данные аутентификации, содержимое файлов и ответы API. Проект XiaoMi/galaxy-fds-sdk-android с открытым исходным кодом достиг статуса конца жизни.

CVE-2025-68637Клиент Uniffle HTTP настроен на доверие ко всем SSL-сертификатам и Отключает проверку имени хоста по умолчанию. Эта небезопасная конфигурация разоблачает все REST API связи между Uniffle CLI/клиентом и Uniffle Coordinator обслуживает потенциальные атаки Man-in-the-Middle (MITM). Эта проблема затрагивает все версии до 0.10.0. Пользователям рекомендуется обновиться до версии 0.10.0, которая устраняет проблему.

CVE-2021-33695Потенциально, SAP Cloud Connector версии 2.0 связь с бэкэндом принимается без достаточной проверки сертификата.

CVE-2020-1887Неправильная проверка имени хоста TLS SNI в osquery версий после 2.9.0 и до 4.2.0 может позволить злоумышленнику MITM-атаковать трафик osquery в отсутствие настроенной корневой цепочки доверия.

CVE-2020-14387В rsync в версиях начиная с 3.2.0pre1 обнаружена ошибка. Rsync неправильно проверяет сертификат с уязвимостью несоответствия хоста. Удаленный, не прошедший проверку подлинности злоумышленник может воспользоваться этой ошибкой, выполнив атаку типа "человек посередине", используя действительный сертификат для другого имени хоста, что может поставить под угрозу конфиденциальность и целостность данных, передаваемых с использованием rsync-ssl. Наибольшую угрозу эта уязвимость представляет для конфиденциальности и целостности данных. Эта ошибка затрагивает rsync версий до 3.2.4.

CVE-2026-35563Было установлено, что реализация клиента LDAP в версии 2.1.7 не проверяет, соответствует ли сертификат сервера предполагаемому LDAP имя. В то время как базовый код проверяет цепочку сертификатов против доверенного органа, отсутствие идентификации конечной точки позволяет иметь действительный сертификат, выданный для совершенно не связанного с ним хоста, быть Неправильно принято. Этот надзор оставляет связь в высокой степени уязвимы для олицетворения сервера и полного компрометирования соединения. Основная причина этой уязвимости кроется в неполном сервере TLS проверка личности в рамках реализации клиента LDAP. Злоумышленник требует возможности MITM в сети, чтобы использовать эту уязвимость. Этот злоумышленник должен иметь возможность предъявить сертификат, которому доверяет настроенный трастовый магазин клиента. Проверка имени хоста была введена в новой версии LDAP API

CVE-2025-3501В Keycloak обнаружена уязвимость. При установке политики проверки 'ALL' проверка сертификата хранилища доверия пропускается, что является непредвиденным поведением [1]. Эта уязвимость может позволить злоумышленнику обойти проверку сертификата. Уязвимость исправлена в Red Hat build of Keycloak 26.0.11 и Red Hat build of Keycloak 22. Источники: - [1] https://access.redhat.com/errata/RHSA-2025:4335 - [2] https://access.redhat.com/errata/RHSA-2025:4336 - [3] https://access.redhat.com/security/cve/CVE-2025-3501 - [4] https://bugzilla.redhat.com/show_bug.cgi?id=2358834

CVE-2024-49782IBM OpenPages с Watson 8.3 и 9.0 может позволить удаленному злоумышленнику подделать идентичность почтового сервера при использовании безопасности SSL/TLS. Злоумышленник может использовать эту уязвимость, чтобы получить доступ к конфиденциальной информации, раскрываемой через уведомления по электронной почте, сгенерированные OpenPages, или нарушить доставку уведомлений.

CVE-2026-22747Уязвимость в Spring Spring Security. SubjectX500PrincipalExtractor неправильно обрабатывает определенные неправильно сформированные значения сертификата X.509 CN, что может привести к чтению неправильного значения для имени пользователя. В тщательно составленном сертификате это может привести к тому, что злоумышленник выдает себя за другого пользователя. Эта проблема затрагивает Spring Security: от 7.0.0 до 7.0.4.

CVE-2025-2190Мобильное приложение (com.transsnet.store) имеет уязвимость атаки «человек посередине», что может привести к рискам внедрения кода.

CVE-2024-32868ZITADEL предоставляет пользователям возможность использовать одноразовый пароль на основе времени (TOTP) и одноразовый пароль (OTP) через SMS и электронную почту. Хотя ZITADEL уже предоставляет администраторам возможность определять «Политику блокировки» с максимальным количеством неудачных попыток проверки пароля, такого механизма для проверок (T)OTP не было. Эта проблема была исправлена в версии 2.50.0.

CVE-2023-34143Уязвимость Improper Validation of Certificate with Host Mismatch в Hitachi Device Manager в Windows, Linux (компоненты Device Manager Server, Device Manager Agent, Host Data Collector) допускает атаку Man in the Middle. Эта проблема затрагивает Hitachi Device Manager: до 8.8.5-02.

CVE-2022-32153Пиры Splunk Enterprise в Splunk Enterprise версий до 9.0 и Splunk Cloud Platform версий до 8.2.2203 по умолчанию не проверяли TLS-сертификаты во время связи Splunk-to-Splunk. Связь между пирами Splunk, правильно настроенная с действительными сертификатами, не была уязвима. Однако злоумышленник с учетными данными администратора мог добавить пир без действительного сертификата, и соединения с неправильно настроенных узлов без действительных сертификатов по умолчанию не завершались ошибкой. Для Splunk Enterprise обновитесь до Splunk Enterprise версии 9.0 и настройте проверку имени хоста TLS для связи Splunk-to-Splunk (https://docs.splunk.com/Documentation/Splunk/9.0.0/Security/EnableTLSCertHostnameValidation), чтобы включить исправление.

CVE-2020-11050В Java-WebSocket версии 1.4.1 или более ранней существует неправильная проверка сертификата с несоответствием хоста, когда WebSocketClient не выполняет проверку имени хоста SSL. Эта проблема была исправлена в версии 1.5.0.