CVE-2026-26214— galaxy-fds-sdk-android 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-26214の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Xiaomi Galaxy FDS Android SDK <= 3.0.8 TLS Hostname Verification Disabled Enables MITM
ソース: NVD (National Vulnerability Database)
脆弱性説明
Galaxy FDS Android SDK (XiaoMi/galaxy-fds-sdk-android) version 3.0.8 and prior disable TLS hostname verification when HTTPS is enabled (the default configuration). In GalaxyFDSClientImpl.createHttpClient(), the SDK configures Apache HttpClient with SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER, which accepts any valid TLS certificate regardless of hostname mismatch. Because HTTPS is enabled by default in FDSClientConfiguration, all applications using the SDK with default settings are affected. This vulnerability allows a man-in-the-middle attacker to intercept and modify SDK communications to Xiaomi FDS cloud storage endpoints, potentially exposing authentication credentials, file contents, and API responses. The XiaoMi/galaxy-fds-sdk-android open source project has reached end-of-life status.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
对宿主不匹配的证书验证不恰当
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
galaxy-fds-sdk-android 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
galaxy-fds-sdk-android是Xiaomi开源的一个用于小米文件数据存储的开发者工具包。 galaxy-fds-sdk-android 3.0.8及之前版本存在安全漏洞,该漏洞源于启用HTTPS时禁用TLS主机名验证,可能导致中间人攻击者拦截和修改通信,暴露身份验证凭据和文件内容。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| Xiaomi Technology Co., Ltd. | Galaxy FDS Android SDK | 0 ~ 3.0.8 | - |
II. CVE-2026-26214の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-26214のインテリジェンス情報
请登录查看更多情报信息。
- Vulnerability-Research/CVE-2026-26214/CVE-2026-26214.md at main · XavLimSG/Vulnerability-Research · GitHubtechnical-descriptionexploit
- https://nvd.nist.gov/vuln/detail/CVE-2026-26214
IV. 関連脆弱性
同じ弱点: CWE-297
- CVE-2026-43869
Apache Thrift: TSSLTransportFactory.java hostname verificati - CVE-2026-41603
Apache Thrift: Java TSSLTransportFactory hostname verificati - CVE-2026-34477
Apache Log4j Core: verifyHostName attribute silently ignored - CVE-2025-59060
Apache Ranger: Hostname verification bypass in NiFiRegistryC - CVE-2025-68637
Apache Uniffle: Insecure SSL Configuration in Uniffle HTTP C
V. CVE-2026-26214へのコメント
まだコメントはありません