CVE-2026-26214

CRÍTIC (9,1)

CVSS3: 7,8

La versió 3.0.8 i anteriors del SDK d’Android Galaxy FDS (XiaoMi/galaxy-fds-sdk-android) desactiven la verificació del nom d’amfitrió TLS quan l’HTTPS està habilitat (la configuració predeterminada). A GalaxyFDSClientImpl.createHttpClient(), l’SDK configura Apache HttpClient amb SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER, que accepta qualsevol certificat TLS vàlid independentment de la discrepància del nom d’amfitrió. Com que l’HTTPS està habilitat per defecte a FDSClientConfiguration, totes les aplicacions que utilitzen l’SDK amb la configuració predeterminada es veuen afectades. Aquesta vulnerabilitat permet a un atacant interceptar i modificar les comunicacions de l’SDK amb els punts finals d’emmagatzematge al núvol Xiaomi FDS, cosa que podria exposar les credencials d’autenticació, el contingut dels fitxers i les respostes de l’API. El projecte de codi obert XiaoMi/galaxy-fds-sdk-android ha arribat a l’estat de fi de vida útil.

post:/platform/configuration/security/service-accountsdelete:/platform/configuration/security/service-accounts/{user_id}patch:/platform/configuration/security/service-accounts/{user_id}post:/platform/configuration/security/service-accounts/{user_id}/keysdelete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id}patch:/userpost:/userspost:/users/auth/keysdelete:/users/auth/keysdelete:/users/auth/keys/_alldelete:/users/auth/keys/{api_key_id}delete:/users/{user_id}/auth/keysdelete:/users/{user_id}/auth/keys/{api_key_id}delete:/users/{user_name}patch:/users/{user_name}

Sistemes Afectats

• Galaxy FDS Android SDK

Remediació

Actualitzeu a un SDK compatible amb actius o mitigueu-ho mitjançant les directrius del proveïdor; en cas contrari, planifiqueu la migració a causa de l’estat de final de vida. Vegeu-ne les Referències.

Referències

• https://www.vulncheck.com/advisories/xiaomi-galaxy-fds-android-sdk-tls-hostname-verification-disabled-enables-mitm
• https://github.com/XiaoMi/galaxy-fds-sdk-android