Vulnerabilidad en AFSecurityPolicy.validatesDomainName para AFSSLPinningModeNone en el framework Networking (CVE-2015-3996)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-254
Características de seguridad
Fecha de publicación:
27/10/2015
Última modificación:
12/04/2025
Descripción
La configuración por defecto de AFSecurityPolicy.validatesDomainName para AFSSLPinningModeNone en el framework Networking en versiones anteriores a 2.5.3, tal como se utiliza en ownCloud iOS Library, deshabilita la verificación de un hostname del servidor contra el nombre de dominio en el Common Name (CN) del sujeto del certificado X.509, lo que permite a atacantes man-in-the-middle suplantar servidores SSL a través de un certificado válido arbitrario.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:afnetworking_project:afnetworking:*:*:*:*:*:*:*:* | 2.5.2 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/76242
- https://github.com/AFNetworking/AFNetworking/issues/2619
- https://github.com/AFNetworking/AFNetworking/releases/tag/2.5.3
- https://owncloud.org/security/advisory/?id=oc-sa-2015-012
- http://www.securityfocus.com/bid/76242
- https://github.com/AFNetworking/AFNetworking/issues/2619
- https://github.com/AFNetworking/AFNetworking/releases/tag/2.5.3
- https://owncloud.org/security/advisory/?id=oc-sa-2015-012