Vulnerabilidad en URLConnection en Android OS (CVE-2016-1155)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
13/04/2017
Última modificación:
20/04/2025
Descripción
Vulnerabilidad de inyección de encabezado HTTP en la clase URLConnection en Android OS 2.2 a 6.0 permite a atacantes remotos ejecutar scripts arbitrarios o establecer valores arbitrarios en cookies.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:google:android:2.2:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:2.2:rev1:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:2.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:2.2.2:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:2.2.3:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:2.3:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:2.3:rev1:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:2.3.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:2.3.2:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:2.3.3:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:2.3.4:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:2.3.5:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:2.3.6:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:2.3.7:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:3.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/97662
- https://android.googlesource.com/platform/external/okhttp/+/71b9f47b26fb57ac3e436a19519c6e3ec70e86eb
- https://jvn.jp/vu/JVNVU99757346/index.html
- http://www.securityfocus.com/bid/97662
- https://android.googlesource.com/platform/external/okhttp/+/71b9f47b26fb57ac3e436a19519c6e3ec70e86eb
- https://jvn.jp/vu/JVNVU99757346/index.html