发布日期：2020-05-07
更新日期：2020-07-27

受影响系统：

Java Java-WebSocket <=1.4.1

描述：

---

CVE(CAN) ID: CVE-2020-11050

Java-WebSocket是一款使用Java语言编写的WebSocket客户端和服务器实现。
Java-WebSocket 1.4.1及之前版本存在信任管理问题漏洞。该漏洞源于WebSocketClient对SSL 主机名进行验证，导致未合理验证存在主机不匹配的证书。攻击者可利用该漏洞使客户端接受了其他受信任主机的证书，导致TLS无法保护用户并防止系统遭受中间人攻击。

<*来源：Peter Stockli
  *>

建议：

---

厂商补丁：

Java
----
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/TooTallNate/Java-WebSocket/security/advisories/GHSA-gw55-jm4h-x339

浏览次数：1052
严重程度：0（网友投票）