Improper Certificate Validation in Twisted

CVE-2019-12855 → GitHub で見る ↗ CVE.org で見る ↗ NVD で見る ↗

説明

In words.protocols.jabber.xmlstream in Twisted through 19.2.1, XMPP support did not verify certificates when used with TLS, allowing an attacker to MITM connections.

基本情報

タイプ: reviewed
深刻度: critical
GitHub 上のアドバイザリ: アドバイザリを開く ↗
リポジトリのアドバイザリ: —
ソースコード: ソースを見る ↗
公開（アドバイザリ）: 2019-08-16 14:02:35 UTC
更新: 2024-11-25 18:34:28 UTC
GitHub レビュー済み: 2019-08-12 15:06:23 UTC
NVD で公開: 2019-06-16

EPSS Score

Score	Percentile
0.65%	70.65%

CVSS Scores

Base score	Version	Severity	Vector
7.4	3.0	—	`CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N` クリックして展開攻撃ベクター (AV:N) インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。攻撃の複雑さ (AC:H) 到達できても、タイミング・負荷・周辺設定など、揃わないと成功しない局面が多い。必要な権限 (PR:N) 事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。ユーザーの関与 (UI:N) メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。スコープ (S:U) 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。機密性への影響 (C:H) 広範な機微データの読み取りや持ち出しが現実的。完全性への影響 (I:H) 権限の奪取や広範なログ改竄など、システムの信頼根拠を揺るがす改ざんが現実的。可用性への影響 (A:N) 業務継続に支障が出るレベルの停止や劣化は想定されない。
9.1	4.0	—	`CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N` クリックして展開攻撃ベクター (AV:N) インターネットや社内 WAN など、ルーティングされたネットワーク越しに遠隔から踏み台にしうる。攻撃の複雑さ (AC:L) 手順が短く、再現性が高い。攻撃要件 (AT:P) 特定のミドルウェア状態やデータ配置など、追加前提が揃わないと成立しない。必要な権限 (PR:N) 昇格やログインなしで踏み台にしうる。ユーザーの関与 (UI:N) 被害者の操作なしでも攻撃が完結しうる。脆弱システムの機密性への影響 (VC:H) 広範な機微情報の窃取や長期滞留が現実的。脆弱システムの完全性への影響 (VI:H) 監査ログの改竄や広範なデータ偽装など、信頼根拠を崩す水準。脆弱システムの可用性への影響 (VA:N) 業務を止めるほどの停止や劣化は想定しにくい。後続システムの機密性への影響 (SC:N) 脆弱点を経由して下流の機微情報が読まれうる余地はほとんどない。後続システムの完全性への影響 (SI:N) 下流の記録や設定が歪められる局面はほとんど想定されない。後続システムの可用性への影響 (SA:N) 下流サービスが止まるほどの影響は想定しにくい。

Identifiers

Type	Value
GHSA	GHSA-65rm-h285-5cc5 ↗
CVE	CVE-2019-12855 ↗

CWEs

CWE id	Name
CWE-295	Improper Certificate Validation

Affected packages (1)

Vulnerable version ranges and first patched releases as published by GitHub.

Ecosystem	Package	Vulnerable range	First patched	Vulnerable functions
pip	twisted	>= 0, < 19.7.0rc1	19.7.0rc1	—

References

cvelogic Threat Intelligence