Executar análise estática (SAST) na base de código à procura do padrão inseguro no fluxo de dados.
CWE-599 Variante Incompleto
Missing Validation of OpenSSL Certificate
This vulnerability occurs when an application uses OpenSSL but fails to properly verify server certificates by not calling SSL_get_verify_result(). Without this validation, the application may…
Definição
What is CWE-599?
This vulnerability occurs when an application uses OpenSSL but fails to properly verify server certificates by not calling SSL_get_verify_result(). Without this validation, the application may accept insecure or fraudulent certificates.
When an application connects to a server using OpenSSL, it must explicitly verify that the server's certificate is valid and trustworthy. Skipping the SSL_get_verify_result() function means the application blindly accepts any certificate presented, missing critical checks for expiration, proper signing by a trusted Certificate Authority (CA), hostname matching, and revocation status.
This missing validation creates an open door for attackers to impersonate trusted servers using self-signed, expired, or otherwise invalid certificates. It enables man-in-the-middle (MITM) attacks where encrypted traffic can be intercepted and decrypted, potentially exposing sensitive data like login credentials or API keys that the application transmits.
Impacto no mundo real
Real-world CVEs caused by CWE-599
Ainda não há referências CVE públicas associadas a este CWE no catálogo da MITRE.
Como os atacantes a exploram
Trajeto do atacante passo a passo
- 1
Identificar um caminho de código que trata input não confiável sem validação.
- 2
Criar um payload que explora o comportamento inseguro — injeção, traversal, overflow ou abuso de lógica.
- 3
Entregar o payload através de um pedido normal e observar a reação da aplicação.
- 4
Iterar até que a resposta exponha dados, execute código do atacante ou escale privilégios.
Exemplo de código vulnerável
Vulnerable C
The following OpenSSL code ensures that the host has a certificate.
if (cert = SSL_get_peer_certificate(ssl)) {
```
// got certificate, host can be trusted*
*//foo=SSL_get_verify_result(ssl);*
*//if (X509_V_OK==foo) ...*
} Exemplo de código seguro
Secure pseudo
// Validate, sanitize, or use a safe API before reaching the sink.
function handleRequest(input) {
const safe = validateAndEscape(input);
return executeWithGuards(safe);
} What changed: the unsafe sink is replaced (or the input is validated/escaped) so the same payload no longer triggers the weakness.
Lista de verificação de prevenção
How to prevent CWE-599
- Architecture and Design Ensure that proper authentication is included in the system design.
- Implementation Understand and properly implement all checks necessary to ensure the identity of entities involved in encrypted communications.
Sinais de deteção
How to detect CWE-599
Executar testes dinâmicos de segurança de aplicações (DAST) contra o endpoint em execução.
Monitorizar os registos em tempo de execução para traços de exceção invulgares, input malformado ou tentativas de contornar a autorização.
Revisão de código: sinalizar qualquer novo código que trate input desta superfície sem usar os ajudantes validados do framework.
O Plexicus deteta automaticamente o CWE-599 e abre um PR de correção em menos de 60 segundos.
O Codex Remedium analisa cada commit, identifica esta fraqueza exata e entrega um pull request pronto para revisão com o patch. Sem tickets. Sem transferências.
Perguntas frequentes O que é o CWE-599?
Qual a gravidade do CWE-599?
Que linguagens ou plataformas são afetadas pelo CWE-599?
Como posso prevenir o CWE-599?
Como é que o Plexicus deteta e corrige o CWE-599?
Onde posso saber mais sobre o CWE-599?
Frequently asked questions
O que é o CWE-599?
This vulnerability occurs when an application uses OpenSSL but fails to properly verify server certificates by not calling SSL_get_verify_result(). Without this validation, the application may accept insecure or fraudulent certificates.
Qual a gravidade do CWE-599?
A MITRE não publicou uma classificação de probabilidade de exploração para esta fraqueza. Trate-a como impacto médio até o seu modelo de ameaças provar o contrário.
Que linguagens ou plataformas são afetadas pelo CWE-599?
A MITRE não especificou as plataformas afetadas por este CWE — pode aplicar-se à maioria das stacks de aplicações.
Como posso prevenir o CWE-599?
Ensure that proper authentication is included in the system design. Understand and properly implement all checks necessary to ensure the identity of entities involved in encrypted communications.
Como é que o Plexicus deteta e corrige o CWE-599?
O motor SAST do Plexicus correlaciona a assinatura de fluxo de dados do CWE-599 em cada commit. Quando é encontrada uma correspondência, o nosso agente Codex Remedium abre um PR de correção com o código corrigido, testes e um resumo de uma linha para o revisor.
Onde posso saber mais sobre o CWE-599?
A MITRE publica a definição canónica em https://cwe.mitre.org/data/definitions/599.html. Pode também consultar a documentação da OWASP e do NIST para orientações adjacentes.
Fraquezas relacionadas
Weaknesses related to CWE-599
CWE-295 Pai
Improper Certificate Validation
This vulnerability occurs when an application fails to properly verify the authenticity of a digital certificate, or performs the…
CWE-296 Irmão
Improper Following of a Certificate's Chain of Trust
This vulnerability occurs when software fails to properly validate the entire certificate chain back to a trusted root authority. This…
CWE-297 Irmão
Improper Validation of Certificate with Host Mismatch
This vulnerability occurs when an application accepts a valid SSL/TLS certificate without properly verifying that it actually belongs to…
CWE-298 Irmão
Improper Validation of Certificate Expiration
This vulnerability occurs when an application fails to properly check if a digital certificate has expired, potentially trusting…
CWE-299 Irmão
Improper Check for Certificate Revocation
This vulnerability occurs when an application fails to properly verify whether a security certificate has been revoked, potentially…
Pronto quando você estiver
Pare de pagar por desenvolvedor.
Comece a fechar o ciclo.
O Plexicus é o ASPM nativo de IA que verifica, filtra, corrige, pentesta e explica — de forma autónoma. Programadores ilimitados, repos ilimitados, ações de IA de utilização justa. Nível gratuito real, €269/mo anual quando estiver pronto.