CWE-599ВариантНеполный
Отсутствие проверки сертификата OpenSSL
Продукт использует OpenSSL и доверяет сертификату или применяет его без использования функции SSL_get_verify_result() для проверки соответствия сертификата всем необходимым требованиям безопасности.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2025-12553Проверка сертификата сервера электронной почты отключена.Эта проблема затрагивает BLU-IC2: до 1.19.5; BLU-IC4: до 1.19.5.
CVE-2026-25060OpenList Frontend - это компонент пользовательского интерфейса для OpenList. До 4.1.10 проверка сертификата отключена по умолчанию для всех сообщений драйверов хранения. Настройка TlsInsecureSkipVerify по умолчанию соответствует действительности в функции DefaultConfig() in in inter/config.go. Эта уязвимость позволяет атаковать Man-in-the-Middle (MitM), отключив проверку сертификата TLS, позволяя злоумышленникам перехватывать и манипулировать всеми сообщениями о хранилищах. Злоумышленники могут использовать это с помощью атак на уровне сети, таких как спуфинг ARP, мошеннические точки доступа Wi-Fi или скомпрометированное внутреннее сетевое оборудование для перенаправления трафика на вредоносные конечные точки. Поскольку проверка сертификата пропущена, система неосознанно установит зашифрованные соединения с серверами, контролируемыми злоумышленником, обеспечивая полную расшифровку, кражу данных и манипулирование всеми операциями хранения без запуска каких-либо предупреждений о безопасности. Эта уязвимость зафиксирована в пункте 4.1.10.
CVE-2025-56230Tencent Docs Desktop 3.9.20 и ранее страдает от проверки сертификата SSL в компоненте обновления.
CVE-2024-41265Проблема проверки сертификата TLS, обнаруженная в cortex v0.42.1, позволяет злоумышленникам получать конфиденциальную информацию через функцию makeOperatorRequest.
CVE-2024-41253goframe v2.7.2 настроен на пропуск проверки сертификата TLS, что, возможно, позволяет злоумышленникам выполнять атаку "человек посередине" через компонент gclient.
CVE-2025-56232GOG Galaxy 2.0.0.2 страдает от проверки отсутствующего SSL-сертификата. Злоумышленник, который контролирует локальный сеть, DNS или прокси, может выполнить атаку «человек посередине» (MitM), чтобы перехватить запросы на обновления и заменить установщик или обновить пакеты вредоносными файлами.
CVE-2024-36755D-Link DIR-1950 до v1.11B03 не проверяет SSL-сертификаты при запросе последней версии прошивки и URL-адреса для загрузки. Это может позволить злоумышленникам понизить версию прошивки или изменить URL-адрес для загрузки с помощью атаки типа "человек посередине".
CVE-2025-56146В Android-приложении IndSMART индийского банка обнаружена уязвимость, связанная с отсутствием проверки SSL-сертификата в активности NuWebViewActivity. Это может привести к возможности перехвата и изменения данных, передаваемых между приложением и сервером.
Источники:
- [1] https://medium.com/@parvbajaj2000/cve-2025-56146-missing-ssl-certificate-validation-in-indian-bank-indsmart-android-app-9db200ac1c69
CVE-2025-63432Xtooltech Xtool AnyScan Android Application 4.40.40 и ранее пропала проверка SSL сертификата. Приложение не может должным образом проверить сертификат TLS со своего сервера обновлений. Злоумышленник в той же сети может использовать эту уязвимость, выполняя атаку Man-in-the-Middle (MITM), чтобы перехватить, расшифровать и изменить трафик между приложением и сервером обновления. Это служит основой для дальнейших атак, включая исполнение удаленных кодов.