CVE-2023-3612 – Unprotected WebView access in Govee Home App

https://notcve.org/view.php?id=CVE-2023-3612

Govee Home app has unprotected access to WebView component which can be opened by any app on the device. By sending an URL to a specially crafted site, the attacker can execute JavaScript in context of WebView or steal sensitive user data by displaying phishing content. La aplicación Govee Home tiene acceso desprotegido al componente WebView que puede abrir cualquier aplicación en el dispositivo. Al enviar una URL a un sitio manipulado, el atacante puede ejecutar JavaScript en el contexto de WebView o robar datos confidenciales del usuario mostrando contenido de phishing. • https://www.sk-cert.sk/threat/sk-cert-bezpecnostne-varovanie-v20230811-10 • CWE-749: Exposed Dangerous Method or Function •