中间人攻击通过SSL证书验证漏洞实现

漏洞摘要

ssl系统模块中存在逻辑缺陷，使得攻击者能够向应用程序提供伪造的服务器证书。这将允许攻击者读取和/或修改主机与服务器之间传输的流量，可能导致敏感信息泄露，并为系统开启新的攻击途径。所有使用nn::ssl::Context::ImportServerPki函数的应用程序均受影响。

时间线

• 2025年6月6日 UTC 6:50 - kinnay向任天堂提交漏洞报告
• 2025年6月9日 UTC 0:42 - tattsun（任天堂员工）发表评论
• 2025年6月20日 UTC 2:48 - 状态变更为"已分类"
• 2025年7月1日 UTC 4:46 - tattsun发表评论
• 2025年7月1日 UTC 4:47 - 范围变更
• 2025年7月15日 UTC 9:26 - 任天堂向kinnay发放奖金
• 2025年7月15日 UTC 11:29 - tattsun发表评论
• 2025年7月15日 UTC 11:30 - 报告关闭，状态变为"已解决"
• 2025年7月16日 UTC 6:05 - kinnay请求公开报告
• 2025年7月16日 UTC 23:15 - tattsun发表评论
• 3天前 - tattsun发表评论
• 2天前 - tattsun同意公开此报告
• 2天前 - 报告已被公开

报告详情

• 报告时间: 2025年6月2日 UTC 19:06
• 报告人: kinnay
• 报告对象: 任天堂
• 报告ID: #3174987
• 状态: 已解决
• 严重程度: 中等（6.5分）
• 公开时间: 2025年8月8日 UTC 1:22
• 弱点类型: 中间人攻击
• CVE ID: 无
• 奖金: 隐藏
• 账户详情: 无