一、 漏洞 CVE-2016-2402 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在OkHttp 2.7.4 和 3.x 之前版本(直到 3.1.2 之前)允许中间人攻击者通过发送一个由非绑定 trusted CA 和绑定证书的证书链来绕过证书绑定。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
OkHttp before 2.7.4 and 3.x before 3.1.2 allows man-in-the-middle attackers to bypass certificate pinning by sending a certificate chain with a certificate from a non-pinned trusted CA and the pinned certificate.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Square OkHttp 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Square OkHttp是美国Square公司的一套用于Android系统和Java应用程序的HTTP和HTTP /2客户端软件。该软件支持同步阻塞调用和回调的异步调用、响应缓存避免网络重复请求等。 Square OkHttp 2.7.4之前的版本和3.1.2之前的3.x版本中存在安全漏洞。攻击者可利用该漏洞实施中间人攻击,绕过证书锁定。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
信任管理问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2016-2402 的公开POC
# POC 描述 源链接 神龙链接
1 Simple script for testing CVE-2016-2402 and similar flaws https://github.com/ikoz/cert-pinning-flaw-poc POC详情
2 OkHttp sample app vulnerable to CVE-2016-2402 https://github.com/ikoz/certPinningVulnerableOkHttp POC详情
三、漏洞 CVE-2016-2402 的情报信息