阿里云漏洞库
高危漏洞
CVE 漏洞库
非CVE漏洞库
安全社区
搜索
NVD
应用程序
CVE-2014-2735
WinSCP X.509 Certificate Validation安全绕过漏洞
CVE编号
CVE-2014-2735
利用情况
暂无
补丁情况
N/A
披露时间
2014-04-23
漏洞描述
WinSCP是一款开放源代码使用SSH的SFTP和SCP客户端。
WinSCP X.509 Certificate Validation存在安全绕过漏洞。当使用带有TLS的FTP时,程序未能验证X.509证书的服务器主机名和域名是否匹配。攻击者可通过任意有效的证书利用该漏洞实施中间人攻击,欺骗SSL服务器。
解决建议
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://winscp.net/eng/index.php
参考链接
http://winscp.net/eng/docs/history
http://winscp.net/tracker/show_bug.cgi?id=1152
http://www.securityfocus.com/archive/1/531847/100/0/threaded
受影响软件情况
#
类型
厂商
产品
版本
影响面
1
运行在以下环境
应用
winscp
winscp
*
Up to
(including)
5.5.2
运行在以下环境
应用
winscp
winscp
5.5
-
运行在以下环境
应用
winscp
winscp
5.5.1
-
CVSS3评分
5.8
攻击路径
网络
攻击复杂度
N/A
权限要求
无
影响范围
N/A
用户交互
无
可用性
无
保密性
部分地
完整性
部分地
CWE-ID
漏洞类型
CWE-20
输入验证不恰当
阿里云安全产品覆盖情况
云安全中心
WAF
云防火墙
RASP
Exp相关链接
×