CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15473
https://notcve.org/view.php?id=CVE-2019-15473
The Xiaomi Mi A2 Lite Android device with a build fingerprint of xiaomi/jasmine/jasmine_sprout:9/PKQ1.180904.001/V10.0.2.0.PDIMIFJ:user/release-keys contains a pre-installed app with a package name of com.qualcomm.qti.callenhancement app (versionCode=28, versionName=9) that allows unauthorized microphone audio recording via a confused deputy attack. This capability can be accessed by any app co-located on the device. This app allows a third-party app to use its open interface to record telephone calls to external storage. El dispositivo Xiaomi Mi A2 Lite Android con una huella digital de compilación de xiaomi/jasmine/jasmine_sprout:9/PKQ1.180904.001/V10.0.2.0.PDIMIFJ:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación de com.qualcomm.qti.callenhancement (versionCode=28, versionName=9), que permite la grabación no autorizada de audio del micrófono por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada en el dispositivo. • https://www.kryptowire.com/android-firmware-2019 • CWE-610: Externally Controlled Reference to a Resource in Another Sphere •
CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15472
https://notcve.org/view.php?id=CVE-2019-15472
The Xiaomi Mi A2 Lite Android device with a build fingerprint of xiaomi/daisy/daisy_sprout:9/PKQ1.180917.001/V10.0.3.0.PDLMIXM:user/release-keys contains a pre-installed app with a package name of com.qualcomm.qti.callenhancement app (versionCode=28, versionName=9) that allows unauthorized microphone audio recording via a confused deputy attack. This capability can be accessed by any app co-located on the device. This app allows a third-party app to use its open interface to record telephone calls to external storage. El dispositivo Xiaomi Mi A2 Lite Android con una huella digital de compilación de xiaomi/daisy/daisy_sprout:9/PKQ1.180917.001/V10.0.3.0.PDLMIXM:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación de com.qualcomm.qti.callenhancement (versionCode=28, versionName=9), que permite la grabación no autorizada de audio del micrófono por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada sobre el dispositivo. • https://www.kryptowire.com/android-firmware-2019 • CWE-610: Externally Controlled Reference to a Resource in Another Sphere •
CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15468
https://notcve.org/view.php?id=CVE-2019-15468
The Xiaomi Mi A2 Lite Android device with a build fingerprint of xiaomi/daisy/daisy_sprout:9/PKQ1.180917.001/V10.0.3.0.PDLMIXM:user/release-keys contains a pre-installed app with a package name of com.huaqin.factory app (versionCode=1, versionName=QL1715_201812071953) that allows unauthorized wireless settings modification via a confused deputy attack. This capability can be accessed by any app co-located on the device. El dispositivo Xiaomi Mi A2 Lite Android con una huella digital de compilación de xiaomi/daisy/daisy_sprout:9/PKQ1.180917.001/V10.0.3.0.PDLMIXM:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de com. aplicación huaqin.factory (versionCode=1, versionName=QL1715_201812071953), que permite la modificación de la configuración inalámbrica no autorizada por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada sobre el dispositivo. • https://www.kryptowire.com/android-firmware-2019 • CWE-610: Externally Controlled Reference to a Resource in Another Sphere •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2018-19939
https://notcve.org/view.php?id=CVE-2018-19939
The Goodix GT9xx touchscreen driver for custom Linux kernels on Xiaomi daisy-o-oss and daisy-p-oss as used in Mi A2 Lite and RedMi6 pro devices through 2018-08-27 has a NULL pointer dereference in kfree after a kmalloc failure in gtp_read_Color in drivers/input/touchscreen/gt917d/gt9xx.c. El controlador de pantalla táctil Goodix GT9xx para Linux Kernels personalizados en Xiaomi daisy-o-oss y daisy-p-oss, tal como se usa en los dispositivos Mi A2 Lite y RedMi6 pro hasta 27/08/2018, tiene una diferencia de puntero NULL en kfree después de una falla de kmalloc en gtp_read_Color en drivers / input / touchscreen / gt917d / gt9xx.c. • https://github.com/MiCode/Xiaomi_Kernel_OpenSource/issues/972 • CWE-476: NULL Pointer Dereference •