漏洞起因
设计错误
危险等级
中
影响系统
Apache Maven 3.x
Apache Maven Wagon 2.x
不受影响系统
危害
远程攻击者可以利用漏洞获取敏感信息。
攻击所需条件
攻击者必须访问Apache Maven。
漏洞信息
Apache Maven是一个软件(特别是Java软件)项目管理及自动构建工具。
Apache Maven应用程序在默认的非安全SSL模式中不安全校验SSL证书,允许攻击者利用漏洞通过中间人攻击欺骗服务器,获取敏感信息。
测试方法
厂商解决方案
Apache Maven 3.0.5和Apache Maven Wagon 2.4已经修复此漏洞,建议用户下载使用:
http://maven.apache.org/docs/3.0.5/release-notes.html
漏洞提供者
Graham Leggett
评论关闭。