漏洞详情

编号：CVE-2024-29887

严重程度：高危 (CVSS 分数：7.4)

影响范围：serverpod_client 包中所有 1.2.6 之前的版本。

描述： 此漏洞绕过了 serverpod_client 包中所有非 Web HTTP 客户端的 TLS 证书验证，使得它们容易受到针对客户端设备与服务器之间加密流量的中间人攻击。攻击者需要能够拦截流量并劫持到服务器的连接才能利用此漏洞。

影响： 所有 serverpod_client 1.2.6 之前的版本。

修复方案： 升级到 1.2.6 版本可解决此问题。

相关引用：

• GHSA-h6x7-r5rg-x5fw
• https://nvd.nist.gov/vuln/detail/CVE-2024-29887
• serverpod/serverpod@d55bf8d

安全弱点：

• CWE-295: 不当的证书验证 - 产品未验证或错误验证证书。

致谢： 由 Skycoder42 报告。