Commons-httpclient
Уязвимости
4
Эксплуатируемые
0
Макс. CVSS
5.8
Макс. EPSS
0.19312
Распределение по критичности
Критический
0
Высокий
0
Средний
3
Низкий
1
Также сопоставлено как (исходные строки): commons-httpclient
Топ уязвимостей
CVE-2012-6153http/conn/ssl/AbstractVerifier.java в Apache Commons HttpClient до версии 4.2.3 неправильно проверяет, совпадает ли имя хоста сервера с доменным именем в поле Common Name (CN) или subjectAltName сертификата X.509, что позволяет злоумышленникам, находящимся в позиции «человек посередине», подменять SSL-серверы через сертификат с субъектом, который указывает общее имя в поле, отличном от поля CN. ПРИМЕЧАНИЕ: эта проблема существует из-за неполного исправления CVE-2012-5783.
CVE-2014-3577org.apache.http.conn.ssl.AbstractVerifier в Apache HttpComponents HttpClient до версии 4.3.5 и HttpAsyncClient до версии 4.0.2 неправильно проверяет, соответствует ли имя хоста сервера доменному имени в поле Common Name (CN) или subjectAltName сертификата X.509, что позволяет злоумышленникам, находящимся посередине, подделывать SSL-серверы через строку "CN=" в поле в отличительном имени (DN) сертификата, как продемонстрировано строкой "foo,CN=www.apache.org" в поле O.
CVE-2015-5262http/conn/ssl/SSLConnectionSocketFactory.java в Apache HttpComponents HttpClient до версии 4.3.6 игнорирует настройку http.socket.timeout во время SSL-рукопожатия, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (зависание HTTPS-вызова) через неуказанные векторы.
CVE-2012-5783Apache Commons HttpClient 3.x, используемый в Amazon Flexible Payments Service (FPS) merchant Java SDK и других продуктах, не проверяет, соответствует ли имя хоста сервера доменному имени в поле Common Name (CN) или subjectAltName сертификата X.509, что позволяет злоумышленникам, находящимся в середине, подменять SSL-серверы через произвольный действительный сертификат.