An information-disclosure issue was discovered in Postman through 6.3.0. It validates a server's X.509 certificate and presents an error if the certificate is not valid. Unfortunately, the associated HTTPS request data is sent anyway. Only the response is not displayed. Thus, all contained information of the HTTPS request is disclosed to a man-in-the-middle attacker (for example, user credentials).
Se ha descubierto un problema de divulgación de información en Postman hasta su versión 6.3.0. Valida el certificado X.509 de un servidor y presenta un error si el certificado no es válido. Desafortunadamente, los datos de la petición HTTPS asociados se envían igualmente. Lo único que no se muestra es la respuesta. Por lo tanto, toda la información contenida en la petición HTTPS se divulga a un atacante Man-in-the-Middle (MitM) (por ejemplo, las credenciales de usuario).
Postman versions 6.3.0 and below suffer from a man-in-the-middle vulnerability due to improper certificate validation.
