CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0CVE-2023-3612 – Unprotected WebView access in Govee Home App
https://notcve.org/view.php?id=CVE-2023-3612
Govee Home app has unprotected access to WebView component which can be opened by any app on the device. By sending an URL to a specially crafted site, the attacker can execute JavaScript in context of WebView or steal sensitive user data by displaying phishing content. La aplicación Govee Home tiene acceso desprotegido al componente WebView que puede abrir cualquier aplicación en el dispositivo. Al enviar una URL a un sitio manipulado, el atacante puede ejecutar JavaScript en el contexto de WebView o robar datos confidenciales del usuario mostrando contenido de phishing. • https://www.sk-cert.sk/threat/sk-cert-bezpecnostne-varovanie-v20230811-10 • CWE-749: Exposed Dangerous Method or Function •
CVSS: 7.2EPSS: 0%CPEs: 3EXPL: 0CVE-2021-25264
https://notcve.org/view.php?id=CVE-2021-25264
In multiple versions of Sophos Endpoint products for MacOS, a local attacker could execute arbitrary code with administrator privileges. En múltiples versiones de los productos Sophos Endpoint para MacOS, un atacante local podría ejecutar código arbitrario con privilegios de administrador • https://community.sophos.com/b/security-blog https://community.sophos.com/b/security-blog/posts/resolved-lpe-in-endpoint-for-macos-cve-2021-25264 •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1CVE-2020-7231
https://notcve.org/view.php?id=CVE-2020-7231
Evoko Home 1.31 devices provide different error messages for failed login requests depending on whether the username is valid. Los dispositivos Evoko Home versión 1.31, proveen diferentes mensajes de error para peticiones de inicio de sesión fallidas dependiendo de si el nombre de usuario es válido. • https://sku11army.blogspot.com/2020/01/evoko-otra-sala-por-favor.html • CWE-209: Generation of Error Message Containing Sensitive Information •
CVSS: 7.5EPSS: 1%CPEs: 1EXPL: 1CVE-2020-7232
https://notcve.org/view.php?id=CVE-2020-7232
Evoko Home devices 1.31 through 1.37 allow remote attackers to obtain sensitive information (such as usernames and password hashes) via a WebSocket request, as demonstrated by the sockjs/224/uf1psgff/websocket URI at a wss:// URL. Los dispositivos Evoko Home versión 1.31 hasta la versión 1.37, permiten a atacantes remotos obtener información confidencial (tales como nombres de usuario y hashes de contraseña) por medio de una petición WebSocket, como es demostrado por el URI sockjs/224/uf1psgff/websocket en una URL wss:// • https://sku11army.blogspot.com/2020/01/evoko-otra-sala-por-favor.html •