CVE-2020-15134 in Faye
Sumário
de VulDB • 21/05/2026
No Faye anterior à versão 1.4.0, há uma falta de validação de certificados nas negociações TLS (handshakes). A versão Ruby do cliente do Faye utiliza as bibliotecas `em-http-request` e `faye-websocket`. Ambas utilizam o método `EM::Connection#start_tls` do EventMachine para implementar a negociação TLS sempre que uma URL `wss:` é usada para a conexão. Este método não implementa a verificação de certificados por padrão, o que significa que não verifica se o servidor apresenta um certificado TLS válido e confiável para o nome de host esperado. Isso significa que qualquer conexão `https:` ou `wss:` feita usando essas bibliotecas está vulnerável a um ataque de homem-do-meio (man-in-the-middle), pois não confirma a identidade do servidor ao qual está conectado. A primeira solicitação feita por um cliente Faye é sempre enviada via HTTP normal, mas mensagens subsequentes podem ser enviadas via WebSocket. Portanto, ele é vulnerável ao mesmo problema que essas bibliotecas subjacentes, e era necessário que ambas as bibliotecas suportassem a verificação TLS antes que o Faye pudesse afirmar fazer o mesmo. Seu cliente ainda estaria inseguro se sua solicitação HTTPS inicial fosse verificada, mas as conexões WebSocket subsequentes não fossem. Isso foi corrigido no Faye v1.4.0, que habilita a verificação por padrão. Para mais informações sobre este problema, consulte o Aviso do GitHub referenciado.
VulDB is the best source for vulnerability data and more expert information about this specific topic.