Katalog CVE

CVE-2023-31486

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Moduł HTTP::Tiny w wersjach przed 0.083 ma niebezpieczną domyślną konfigurację TLS, w której użytkownicy muszą ręcznie włączyć weryfikację certyfikatów. Moduł ten jest częścią rdzenia Perla od wersji 5.13.9 oraz dostępny jako samodzielny na CPAN.

Ocena ryzyka

Brak weryfikacji certyfikatów może prowadzić do ataków typu man-in-the-middle, co stwarza poważne zagrożenie dla bezpieczeństwa danych przesyłanych przez użytkowników. Organizacje mogą być narażone na utratę poufnych informacji.

Rekomendacja

Zaleca się aktualizację modułu HTTP::Tiny do wersji 0.083 lub nowszej oraz skonfigurowanie weryfikacji certyfikatów jako domyślnej, aby zwiększyć bezpieczeństwo komunikacji.

Oryginalny opis (angielski, źródło NVD)

HTTP::Tiny before 0.083, a Perl core module since 5.13.9 and available standalone on CPAN, has an insecure default TLS configuration where users must opt in to verify certificates.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS