Inicio / Alerta Temprana / Vulnerabilidades / CVE-2020-15133

Vulnerabilidad en la clase "Faye::WebSocket::Client" en el método "EM::Connection #start_tls" en EventMachine en el protocolo de enlace TLS en faye-websocket (CVE-2020-15133)

Tipo: 
No disponible / Otro tipo
Gravedad: 
Sin asignar
Fecha publicación : 
31/07/2020
Última modificación: 
31/07/2020
Descripción
En faye-websocket versiones anteriores a 0.11.0, se presenta una falta de comprobación de certificación en los protocolos de enlaces TLS. La clase "Faye::WebSocket::Client" usa el método "EM::Connection #start_tls" en EventMachine para implementar el protocolo de enlace TLS cada vez que una URL "wss:" es usada para la conexión. Este método no implementa la verificación de certificados por defecto, lo que significa que no comprueba que el servidor presente un certificado TLS válido y confiable para el nombre de host esperado. Eso significa que cualquier conexión "wss:" realizada con esta biblioteca es vulnerable a un ataque de tipo man-in-the-middle, ya que no confirma la identidad del servidor al que está conectado. Para obtener más información de fondo sobre este tema, consulte el Aviso de GitHub referenciado. Es recomendado actualizar "faye-websocket" a la versión v0.11.0
Impacto
Vector de acceso: No disponible
Complejidad de Acceso: No disponible
Autenticación: No disponible
Tipo de impacto: No disponible
Explicación de los campos