Data: 2023-11-06
Severity: High
CVSS Score: 7.4 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)
Riferimenti: https://nvd.nist.gov/vuln/detail/CVE-2023-4586
Libreria: io.netty:netty-transport <= 5.0.0
Descrizione
A vulnerability was found in the Hot Rod client. This security issue occurs as the Hot Rod client does not enable hostname validation when using TLS, possibly resulting in a man-in-the-middle (MITM) attack.
Falso Positivo per GovWay
Si tratta di un falso positivo per i seguenti motivi:
- il CVE è considerato un falso positivo dal team di Netty; la stessa "vulnerabilità" è applicabile anche con Java, se la verifica del hostname non viene abilitata.
- la libreria netty non viene utilizzata direttamente da GovWay, ma risulta una dipendenza della libreria 'org.redisson:redisson'. Nella classe ReddisonManager, dove viene configurato l'utilizzo della libreria 'redisson', è stata esplicitamente abilitato la validazione dell'hostname "setSslEnableEndpointIdentification(true)" anche se vedendo la documentazione delle API veniva già indicato che fosse abilitato per default.
Configuration File: false-positive.xml