CVE-2023-31486
NiskieStreszczenie
Moduł HTTP::Tiny w wersjach przed 0.083 ma niebezpieczną domyślną konfigurację TLS, w której użytkownicy muszą ręcznie włączyć weryfikację certyfikatów. Moduł ten jest częścią rdzenia Perla od wersji 5.13.9 oraz dostępny jako samodzielny na CPAN.
Ocena ryzyka
Brak weryfikacji certyfikatów może prowadzić do ataków typu man-in-the-middle, co stwarza poważne zagrożenie dla bezpieczeństwa danych przesyłanych przez użytkowników. Organizacje mogą być narażone na utratę poufnych informacji.
Rekomendacja
Zaleca się aktualizację modułu HTTP::Tiny do wersji 0.083 lub nowszej oraz skonfigurowanie weryfikacji certyfikatów jako domyślnej, aby zwiększyć bezpieczeństwo komunikacji.
Oryginalny opis (angielski, źródło NVD)
HTTP::Tiny before 0.083, a Perl core module since 5.13.9 and available standalone on CPAN, has an insecure default TLS configuration where users must opt in to verify certificates.

