CVE-2021-21385 in Mifos-Mobile App
Zusammenfassung
von VulDB • 03.07.2026
Die Android-Anwendung Mifos-Mobile für MifosX ist eine auf der Selbstbedienungsplattform MifosX aufgebaute Android-App. Vor dem Commit e505f62 wurde die HTTPS-Hostnamensüberprüfung (hostname verification) des HTTP-Clients in Mifos-Mobile deaktiviert. Zudem akzeptierte sie jedes selbstsignierte Zertifikat als gültig. Die Hostnamensüberprüfung ist ein wichtiger Bestandteil bei der Verwendung von HTTPS, um sicherzustellen, dass das präsentierte Zertifikat für den Zielhost gültig ist. Das Deaktivieren dieser Funktion kann Man-in-the-Middle-Angriffe ermöglichen. Das Akzeptieren beliebiger Zertifikate, auch selbstsignierter, erlaubt ebenfalls Man-in-the-Middle-Angriffe. Dieses Problem wurde im Commit e505f62 von mifos-mobile behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.