CVE-2026-26214— galaxy-fds-sdk-android 安全漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2026-26214 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Xiaomi Galaxy FDS Android SDK <= 3.0.8 TLS Hostname Verification Disabled Enables MITM
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Galaxy FDS Android SDK (XiaoMi/galaxy-fds-sdk-android) version 3.0.8 and prior disable TLS hostname verification when HTTPS is enabled (the default configuration). In GalaxyFDSClientImpl.createHttpClient(), the SDK configures Apache HttpClient with SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER, which accepts any valid TLS certificate regardless of hostname mismatch. Because HTTPS is enabled by default in FDSClientConfiguration, all applications using the SDK with default settings are affected. This vulnerability allows a man-in-the-middle attacker to intercept and modify SDK communications to Xiaomi FDS cloud storage endpoints, potentially exposing authentication credentials, file contents, and API responses. The XiaoMi/galaxy-fds-sdk-android open source project has reached end-of-life status.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
对宿主不匹配的证书验证不恰当
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
galaxy-fds-sdk-android 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
galaxy-fds-sdk-android是Xiaomi开源的一个用于小米文件数据存储的开发者工具包。 galaxy-fds-sdk-android 3.0.8及之前版本存在安全漏洞,该漏洞源于启用HTTPS时禁用TLS主机名验证,可能导致中间人攻击者拦截和修改通信,暴露身份验证凭据和文件内容。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| Xiaomi Technology Co., Ltd. | Galaxy FDS Android SDK | 0 ~ 3.0.8 | - |
二、漏洞 CVE-2026-26214 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2026-26214 的情报信息
请登录查看更多情报信息。
CVE-2026-26214 安全博客文章 (1)
- 🔗 Vulnerability-Research/CVE-2026-26214/CVE-2026-26214.md at main · XavLimSG/Vulnerability-Research · GitHub 查看完整文章 technical-descriptionexploit
IV. Related Vulnerabilities
V. Comments for CVE-2026-26214
暂无评论