CVE-2016-2402 — Improper Certificate Validation in OkHttp

描述

OkHttp before 2.7.4 and 3.x before 3.1.2 allows man-in-the-middle attackers to bypass certificate pinning by sending a certificate chain with a certificate from a non-pinned trusted CA and the pinned certificate.

如何修補 CVE-2016-2402

要修補 CVE-2016-2402,請將受影響套件升級到下列已修補版本。

Maven/com.squareup.okhttp3:okhttp—升級至 2.7.4 或更新版本

CVE-2016-2402 正在被利用嗎?

低 — EPSS 為 2.7%,目前沒有觀察到大規模利用活動。

受影響套件(1)

from 0, < 2.7.4

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	MEDIUM5.9	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

參考連結(7)

ADVISORYnvd.nist.gov/vuln/detail/CVE-2016-2402
PATCHgithub.com/square/okhttp
WEBkoz.io/pinning-cve-2016-2402
WEBlists.apache.org/thread.html/rd0e44e8ef71eeaaa3cf3d1b8b41eb25894372e2995ec908ce7624d26@%3Ccommits.pulsar.apache.org%3E