Программа: ModernBill 5.0.1 и 5.0.4, возможно другие версии.

Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе. Уязвимость существует из-за того, что приложение вызывает CURL с CURLOPT_SSL_VERIFYPEER, а опция CURLOPT_SSL_VERIFYHOST установлена в false во время подключения к платежному шлюзу через SSL. Библиотека CURL может некорректно подтвердить подлинность сертификата и позволить злоумышленнику произвести атаку «человек по средине».



Оставить мнение