CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0CVE-2017-1000209
https://notcve.org/view.php?id=CVE-2017-1000209
The Java WebSocket client nv-websocket-client does not verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL/TLS servers via an arbitrary valid certificate. El cliente nv-websocket-client de Java WebSocket no verifica que el nombre del servidor coincida con en nombre de un dominio en el campo subjectAltName o en el nombre común (CN) del sujeto del certificado X.509, lo que permite que los atacantes Man-in-the-Middle (MitM) suplanten los servidores SSL/TLS mediante un certificado válido arbitrario. • https://github.com/TakahikoKawasaki/nv-websocket-client/pull/107 • CWE-295: Improper Certificate Validation •