CVE-2014-3577 in Financial Services Revenue Management
摘要
由 VulDB • 2026-06-22
org.apache.http.conn.ssl.AbstractVerifier 在 Apache HttpComponents HttpClient(4.3.5 之前版本)和 HttpAsyncClient(4.0.2 之前版本)中未能正确验证服务器主机名是否与 X.509 证书的主题通用名称 (CN) 或 subjectAltName 字段中的域名匹配,这使得中间人攻击者可以通过在证书的区分名称 (DN) 的字段中使用 “CN=” 字符串来伪造 SSL 服务器身份,例如在 O 字段中使用的 “foo,CN=www.apache.org” 字符串。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.