Open ISES Tickets before 3.44.2 disables TLS certificate verification in incs/login.inc.php by setting CURLOPT_SSL_VERIFYPEER to false (and not setting CURLOPT_SSL_VERIFYHOST) when issuing outbound HTTPS requests for outbound HTTPS requests issued during the login/authentication flow. An attacker positioned on the network path between the server and the remote endpoint can present a forged certificate to intercept, monitor, or modify the request and response, including any API keys or session-bearing data in transit.
Open ISES Tickets before version 3.44.2 disables TLS certificate verification during authentication, allowing network attackers to intercept HTTPS requests and steal credentials. An attacker can forge SSL certificates to monitor or modify login traffic containing API keys and session data.
يقوم Open ISES Tickets بتعطيل التحقق من شهادات TLS في ملف incs/login.inc.php بتعيين CURLOPT_SSL_VERIFYPEER إلى false أثناء طلبات HTTPS الصادرة في سير المصادقة. يمكن لمهاجم موضوع على مسار الشبكة بين الخادم والنقطة النهائية البعيدة تقديم شهادة مزيفة لاعتراض أو مراقبة أو تعديل الطلب والاستجابة.
إصدارات Open ISES Tickets السابقة للإصدار 3.44.2 تعطل التحقق من شهادات TLS أثناء المصادقة، مما يسمح للمهاجمين بالتقاط طلبات HTTPS وسرقة بيانات الاعتماد. يمكن للمهاجم تزوير شهادات SSL لمراقبة أو تعديل حركة تسجيل الدخول التي تحتوي على مفاتيح API وبيانات الجلسة.
Upgrade Open ISES Tickets to version 3.44.2 or later immediately. Ensure CURLOPT_SSL_VERIFYPEER and CURLOPT_SSL_VERIFYHOST are properly enabled in all HTTPS requests. Implement network segmentation and monitor for suspicious certificate presentations on authentication endpoints.
قم بترقية Open ISES Tickets إلى الإصدار 3.44.2 أو أحدث على الفور. تأكد من تفعيل CURLOPT_SSL_VERIFYPEER و CURLOPT_SSL_VERIFYHOST بشكل صحيح في جميع طلبات HTTPS. قم بتنفيذ تقسيم الشبكة ومراقبة عروض الشهادات المريبة على نقاط نهاية المصادقة.