Published: 13/05/2011 Updated: 30/10/2018

CVSS v2 Base Score: 4.3 | Impact Score: 2.9 | Exploitability Score: 8.6

VMScore: 383

Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N

The Net::HTTPS module in libwww-perl (LWP) prior to 6.00, as used in WWW::Mechanize, LWP::UserAgent, and other products, when running in environments that do not set the If-SSL-Cert-Subject header, does not enable full validation of SSL certificates by default, which allows remote malicious users to spoof servers via man-in-the-middle (MITM) attacks involving hostnames that are not properly validated. NOTE: it could be argued that this is a design limitation of the Net::HTTPS API, and separate implementations should be independently assigned CVE identifiers for not working around this limitation. However, because this API was modified within LWP, a single CVE identifier has been assigned.

Vulnerable Product	Search on Vulmon	Subscribe to Product
gisle aas libwww-perl 5.823
gisle aas libwww-perl 5.822
gisle aas libwww-perl 5.821
gisle aas libwww-perl 5.820
gisle aas libwww-perl 5.819
gisle aas libwww-perl 5.805
gisle aas libwww-perl 5.804
gisle aas libwww-perl 5.803
gisle aas libwww-perl 5.802
gisle aas libwww-perl 5.68
gisle aas libwww-perl 5.67
gisle aas libwww-perl 5.66
gisle aas libwww-perl 5.65
gisle aas libwww-perl 5.53
gisle aas libwww-perl 5.52
gisle aas libwww-perl 5.51
gisle aas libwww-perl 5.50
gisle aas libwww-perl 5.34
gisle aas libwww-perl 5.33
gisle aas libwww-perl 5.32
gisle aas libwww-perl 5.31
gisle aas libwww-perl 5.13
gisle aas libwww-perl 5.12
gisle aas libwww-perl 5.11
gisle aas libwww-perl 5.10
gisle aas libwww-perl 5b10
gisle aas libwww-perl 5b9
gisle aas libwww-perl 5b8
gisle aas libwww-perl 5b7
gisle aas libwww-perl 5.831
gisle aas libwww-perl 5.830
gisle aas libwww-perl 5.829
gisle aas libwww-perl 5.828
gisle aas libwww-perl 5.814
gisle aas libwww-perl 5.813
gisle aas libwww-perl 5.812
gisle aas libwww-perl 5.811
gisle aas libwww-perl 5.76
gisle aas libwww-perl 5.75
gisle aas libwww-perl 5.74
gisle aas libwww-perl 5.73
gisle aas libwww-perl 5.60
gisle aas libwww-perl 5.53_97
gisle aas libwww-perl 5.53_96
gisle aas libwww-perl 5.53_95
gisle aas libwww-perl 5.45
gisle aas libwww-perl 5.44
gisle aas libwww-perl 5.43
gisle aas libwww-perl 5.42
gisle aas libwww-perl 5.18_05
gisle aas libwww-perl 5.18_04
gisle aas libwww-perl 5.18_03
gisle aas libwww-perl 5.18
gisle aas libwww-perl 5.05
gisle aas libwww-perl 5.04
gisle aas libwww-perl 5.03
gisle aas libwww-perl 5.02
gisle aas libwww-perl 5.01
gisle aas libwww-perl 0.02
gisle aas libwww-perl 0.01
gisle aas libwww-perl 5.834
gisle aas libwww-perl 5.836
gisle aas libwww-perl 5.833
gisle aas libwww-perl 5.826
gisle aas libwww-perl 5.824
gisle aas libwww-perl 5.817
gisle aas libwww-perl 5.815
gisle aas libwww-perl 5.810
gisle aas libwww-perl 5.807
gisle aas libwww-perl 5.800
gisle aas libwww-perl 5.78
gisle aas libwww-perl 5.71
gisle aas libwww-perl 5.69
gisle aas libwww-perl 5.64
gisle aas libwww-perl 5.62
gisle aas libwww-perl 5.53_93
gisle aas libwww-perl 5.53_91
gisle aas libwww-perl 5.48
gisle aas libwww-perl 5.46
gisle aas libwww-perl 5.41
gisle aas libwww-perl 5.36
gisle aas libwww-perl 5.22
gisle aas libwww-perl 5.20
gisle aas libwww-perl 5.16
gisle aas libwww-perl 5.14
gisle aas libwww-perl 5.09
gisle aas libwww-perl 5.07
gisle aas libwww-perl 5.00
gisle aas libwww-perl 5b12
gisle aas libwww-perl 5b5
gisle aas libwww-perl 0.03
search.cpan libwww-perl
gisle aas libwww-perl 5.832
gisle aas libwww-perl 5.827
gisle aas libwww-perl 5.825
gisle aas libwww-perl 5.818
gisle aas libwww-perl 5.816
gisle aas libwww-perl 5.808
gisle aas libwww-perl 5.806
gisle aas libwww-perl 5.801
gisle aas libwww-perl 5.79
gisle aas libwww-perl 5.77
gisle aas libwww-perl 5.72
gisle aas libwww-perl 5.70
gisle aas libwww-perl 5.63
gisle aas libwww-perl 5.61
gisle aas libwww-perl 5.53_94
gisle aas libwww-perl 5.53_92
gisle aas libwww-perl 5.53_90
gisle aas libwww-perl 5.49
gisle aas libwww-perl 5.47
search.cpan libwww-perl 5.40_01
gisle aas libwww-perl 5.35
gisle aas libwww-perl 5.30
gisle aas libwww-perl 5.21
gisle aas libwww-perl 5.19
gisle aas libwww-perl 5.17
gisle aas libwww-perl 5.15
gisle aas libwww-perl 5.08
gisle aas libwww-perl 5.06
gisle aas libwww-perl 5b13
gisle aas libwww-perl 5b11
gisle aas libwww-perl 5b6
gisle aas libwww-perl 0.04

Debian Bug report logs - #669126 SSL validation in libwww-perl (CVE-2011-0633) Package: libwww-perl; Maintainer for libwww-perl is Debian Perl Group <pkg-perl-maintainers@listsaliothdebianorg>; Source for libwww-perl is src:libwww-perl (PTS, buildd, popcon) Reported by: Salvatore Bonaccorso <carnil@debianorg> Dat ...

The Net::HTTPS module in libwww-perl (LWP) before 600, as used in WWW::Mechanize, LWP::UserAgent, and other products, when running in environments that do not set the If-SSL-Cert-Subject header, does not enable full validation of SSL certificates by default, which allows remote attackers to spoof servers via man-in-the-middle (MITM) attacks involv ...

CWE-20 http://vttynotes.blogspot.com/2010/12/man-in-middle-fun-with-perl-lwp.html http://cpansearch.perl.org/src/GAAS/libwww-perl-6.02/Changes http://vttynotes.blogspot.com/2011/03/quick-note-on-lwp-and-perl-security-cve.html https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=669126 https://nvd.nist.gov https://alas.aws.amazon.com/ALAS-2011-17.html

Get Started

CVE-2011-0633

Vulnerability Summary

Vendor Advisories

References

Vulmon Search

About

Products

Connect