CVE-2026-26214

Galaxy FDS Android SDK (XiaoMi/galaxy-fds-sdk-android) version 3.0.8 and prior disable TLS hostname verification when HTTPS is enabled (the default configuration). In GalaxyFDSClientImpl.createHttpClient(), the SDK configures Apache HttpClient with SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER, which accepts any valid TLS certificate regardless of hostname mismatch. Because HTTPS is enabled by default in FDSClientConfiguration, all applications using the SDK with default settings are affected. This vulnerability allows a man-in-the-middle attacker to intercept and modify SDK communications to Xiaomi FDS cloud storage endpoints, potentially exposing authentication credentials, file contents, and API responses. The XiaoMi/galaxy-fds-sdk-android open source project has reached end-of-life status.

CVSS v3 7.4 HIGH

7.4^/10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.2 / Impact : 5.2

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://github.com/XavLimSG/Vulnerability-Research/blob/main/CVE-2026-26214/CVE-2026-26214.md
https://github.com/XiaoMi/galaxy-fds-sdk-android
https://www.vulncheck.com/advisories/xiaomi-galaxy-fds-android-sdk-tls-hostname-verification-disabled-enables-mitm

Configurations

No configuration.

History

15 Apr 2026, 00:35

Type	Values Removed	Values Added
Summary		(es) Galaxy FDS Android SDK (XiaoMi/galaxy-fds-sdk-android) versión 3.0.8 y anteriores deshabilitan la verificación de nombre de host TLS cuando HTTPS está habilitado (la configuración predeterminada). En GalaxyFDSClientImpl.createHttpClient(), el SDK configura Apache HttpClient con SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER, que acepta cualquier certificado TLS válido independientemente de la falta de coincidencia del nombre de host. Debido a que HTTPS está habilitado por defecto en FDSClientConfiguration, todas las aplicaciones que usan el SDK con la configuración predeterminada se ven afectadas. Esta vulnerabilidad permite a un atacante man-in-the-middle interceptar y modificar las comunicaciones del SDK a los puntos finales de almacenamiento en la nube de Xiaomi FDS, exponiendo potencialmente las credenciales de autenticación, el contenido de los archivos y las respuestas de la API. El proyecto de código abierto XiaoMi/galaxy-fds-sdk-android ha alcanzado el estado de fin de vida útil.

20 Feb 2026, 16:22

Type	Values Removed	Values Added
References		() https://github.com/XavLimSG/Vulnerability-Research/blob/main/CVE-2026-26214/CVE-2026-26214.md -

12 Feb 2026, 16:16

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-02-12 16:16

Updated : 2026-06-17 10:25

NVD link : CVE-2026-26214

Mitre link : CVE-2026-26214

CVE.ORG link : CVE-2026-26214

JSON object : View

Products Affected

No product.

CWE

CWE-297

Improper Validation of Certificate with Host Mismatch

7.4 /10