【安全漏洞】Java-WebSocket 信任管理漏洞

发布厂商:

org.java-websocket

组件名称:

Java-WebSocket

版本号:

1.3.7

漏洞影响版本:

1.3.7 - 1.4.1

组件风险等级:

高危

组件路径:

[xxx.jar/BOOT-INF/lib/Java-WebSocket-1.3.7.jar]

CVE编号:

CVE-2020-11050

CNNVD编号:

CNNVD-202005-296

漏洞名称:

Java-WebSocket 信任管理问题漏洞

漏洞风险等级:

高危

漏洞类型:

信任管理问题

漏洞描述:

Java-WebSocket 是一个使用 Java 语言编写的 WebSocket 客户端和服务器实现库，广泛用于实现 WebSocket 通信功能。该库在 1.4.1 及之前的版本中存在严重的信任管理问题漏洞。此漏洞的根本原因是 WebSocketClient 类没有正确验证 SSL 连接的主机名，导致通信过程中可能无法识别中间人攻击（MITM）。攻击者可以通过伪造的 SSL 证书拦截和操纵 WebSocket 连接，从而窃取敏感信息或发起其它攻击。

漏洞影响范围:

该漏洞影响 Maven 系统中所有 org.java-websocket:Java-WebSocket 版本大于等于 0 且小于等于 1.4.1 的版本。尤其是在 WebSocket 通信涉及敏感数据传输时，这种信任管理问题漏洞可能会导致用户信息泄露、通信篡改等安全风险。

漏洞利用风险:

攻击者可以通过中间人攻击（MITM），利用不安全的 SSL 连接拦截数据。这可能会导致敏感信息（如身份验证凭据、会话数据等）被窃取或被修改，进而威胁到用户隐私和系统的完整性。

修复建议:

为了防止此漏洞的进一步利用，开发者应尽快将 Java-WebSocket 库升级到 1.5.0 或更高版本。1.5.0 版本修复了信任管理问题，确保 WebSocketClient 进行 SSL 主机名的正确验证，从而防止中间人攻击。

版本升级建议：

将 Maven 系统中 org.java-websocket:Java-WebSocket 组件升级至 1.5.0 或更新版本。升级后，WebSocketClient 会通过 SSL 验证机制进行主机名校验，保证通信的安全性。

<dependency>
	<groupId>org.java-websocket</groupId>
	<artifactId>Java-WebSocket</artifactId>
	<version>1.5.0</version>
</dependency>							

总结:

Java-WebSocket 1.4.1 及之前的版本中存在的信任管理问题对 WebSocket 通信构成了严重的安全风险，尤其是在涉及敏感数据的应用场景中。强烈建议使用该组件的开发者尽快进行版本升级，以防范潜在的中间人攻击，并确保通信的机密性和完整性。通过升级到 1.5.0 或更高版本，开发者可以有效避免此类信任管理漏洞带来的风险。

更多已修复漏洞实例请访问: 一线网资源-全网一站式平台