Open ISES Tickets before 3.44.2 disables TLS certificate verification in rm/incs/mobile_login.inc.php by setting CURLOPT_SSL_VERIFYPEER to false (and not setting CURLOPT_SSL_VERIFYHOST) when issuing outbound HTTPS requests for outbound HTTPS requests issued during the mobile (RouteMate) login flow. An attacker positioned on the network path between the server and the remote endpoint can present a forged certificate to intercept, monitor, or modify the request and response, including any API keys or session-bearing data in transit.
Open ISES Tickets before version 3.44.2 disables TLS certificate verification in mobile login functionality, allowing network-based attackers to intercept HTTPS traffic. This vulnerability enables interception of sensitive data including API keys and session tokens during the RouteMate mobile login process.
يعطل Open ISES Tickets الإصدارات السابقة للإصدار 3.44.2 التحقق من شهادات TLS في ملف mobile_login.inc.php بتعيين CURLOPT_SSL_VERIFYPEER إلى false. يمكن لمهاجم موضوع على مسار الشبكة تقديم شهادة مزيفة لاعتراض أو مراقبة أو تعديل الطلبات والاستجابات بما في ذلك مفاتيح API وبيانات الجلسة.
إصدارات Open ISES Tickets السابقة للإصدار 3.44.2 تعطل التحقق من شهادات TLS في وظيفة تسجيل الدخول عبر الهاتف المحمول. يسمح هذا الضعف للمهاجمين على مسار الشبكة باعتراض بيانات حساسة مثل مفاتيح API وتوكنات الجلسة.
Upgrade Open ISES Tickets to version 3.44.2 or later immediately. Ensure CURLOPT_SSL_VERIFYPEER and CURLOPT_SSL_VERIFYHOST are properly configured in mobile_login.inc.php. Implement network segmentation and monitor for suspicious certificate activity on internal networks.
قم بترقية Open ISES Tickets إلى الإصدار 3.44.2 أو أحدث فوراً. تأكد من تكوين CURLOPT_SSL_VERIFYPEER و CURLOPT_SSL_VERIFYHOST بشكل صحيح في mobile_login.inc.php. طبق تقسيم الشبكة ومراقبة النشاط المريب المتعلق بالشهادات على الشبكات الداخلية.