Описание
OkHttp before 2.7.4 and 3.x before 3.1.2 allows man-in-the-middle attackers to bypass certificate pinning by sending a certificate chain with a certificate from a non-pinned trusted CA and the pinned certificate.
Ссылки
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Technical DescriptionThird Party Advisory
- Vendor Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Technical DescriptionThird Party Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 2.7.3 (включая)
Одно из
cpe:2.3:a:squareup:okhttp:*:*:*:*:*:*:*:*
cpe:2.3:a:squareup:okhttp3:3.0.0:*:*:*:*:*:*:*
cpe:2.3:a:squareup:okhttp3:3.0.0:rc1:*:*:*:*:*:*
cpe:2.3:a:squareup:okhttp3:3.0.1:*:*:*:*:*:*:*
cpe:2.3:a:squareup:okhttp3:3.1.0:*:*:*:*:*:*:*
cpe:2.3:a:squareup:okhttp3:3.1.1:*:*:*:*:*:*:*
EPSS
Процентиль: 85%
0.02681
Низкий
5.9 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
CWE-295
Связанные уязвимости
CVSS3: 5.9
fstec
почти 10 лет назад
Уязвимость клиентской HTTP-библиотеки OKHttp Square, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю обойти существующие ограничения безопасности и реализовать атаку типа «человек посередине»
EPSS
Процентиль: 85%
0.02681
Низкий
5.9 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
CWE-295