CVE-2020-13955

描述

"HttpUtils#getURLConnection method disables explicitly hostname verification for HTTPS connections making clients vulnerable to man-in-the-middle attacks. Calcite uses this method internally to connect with Druid and Splunk so information leakage may happen when using the respective Calcite adapters. The method itself is in a utility class so people may use it to create vulnerable HTTPS connections for other applications. From Apache Calcite 1.26 onwards, the hostname verification will be performed using the default JVM truststore."

如何修補 CVE-2020-13955

要修補 CVE-2020-13955,請將受影響套件升級到下列已修補版本。

—升級至 1.26.0 或更新版本
—升級至 1.26.0 或更新版本
—升級至 1.26.0 或更新版本

CVE-2020-13955 正在被利用嗎?

低 — EPSS 為 0.8%,目前沒有觀察到大規模利用活動。

受影響套件(3)

from 0, < 1.26.0
from 0, < 1.26.0
from 0, < 1.26.0

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	MEDIUM5.9	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

描述

如何修補 CVE-2020-13955

CVE-2020-13955 正在被利用嗎?

受影響套件(3)

CVSS 分數

參考連結(4)