CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15471
https://notcve.org/view.php?id=CVE-2019-15471
The Xiaomi Mi Mix 2S Android device with a build fingerprint of Xiaomi/polaris/polaris:8.0.0/OPR1.170623.032/V9.5.19.0.ODGMIFA:user/release-keys contains a pre-installed app with a package name of com.qualcomm.qti.callenhancement app (versionCode=27, versionName=8.1.0) that allows other pre-installed apps to perform microphone audio recording via an accessible app component. This capability can be accessed by any pre-installed app on the device which can obtain signatureOrSystem permissions that are required by other other pre-installed apps that export their capabilities to other pre-installed app. This app allows a third-party app to use its open interface to record telephone calls to external storage. El dispositivo Xiaomi Mi Mix 2S Android con una huella digital de compilación de Xiaomi/polaris/polaris:8.0.0/OPR1.170623.032/V9.5.19.0.ODGMIFA:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.qualcomm.qti.callenhancement (versionCode=27, versionName=8.1.0), que permite a otras aplicaciones preinstaladas realizar una grabación de audio del micrófono por medio de un componente de aplicación accesible. Esta capacidad puede ser accedida mediante cualquier aplicación preinstalada en el dispositivo que pueda obtener permisos signatureOrSystem que son requeridos mediante otras aplicaciones preinstaladas que exportaron sus capacidades hacia otra aplicación preinstalada. • https://www.kryptowire.com/android-firmware-2019 •
CVSS: 3.3EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15467
https://notcve.org/view.php?id=CVE-2019-15467
The Xiaomi Mi Mix 2S Android device with a build fingerprint of Xiaomi/polaris/polaris:8.0.0/OPR1.170623.032/V9.5.19.0.ODGMIFA:user/release-keys contains a pre-installed app with a package name of com.huaqin.factory app (versionCode=1, versionName=A2060_201801032053) that allows unauthorized wireless settings modification via a confused deputy attack. This capability can be accessed by any app co-located on the device. El dispositivo Xiaomi Mi Mix 2S Android con una huella digital de compilación de Xiaomi/polaris/polaris:8.0.0/OPR1.170623.032/V9.5.19.0.ODGMIFA:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.huaqin.factory (versionCode=1, versionName=A2060_201801032053), que permite la modificación de la configuración inalámbrica no autorizada por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada sobre el dispositivo. • https://www.kryptowire.com/android-firmware-2019 • CWE-610: Externally Controlled Reference to a Resource in Another Sphere •
CVSS: 3.3EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15427
https://notcve.org/view.php?id=CVE-2019-15427
The Xiaomi Mi Mix Android device with a build fingerprint of Xiaomi/lithium/lithium:6.0.1/MXB48T/7.1.5:user/release-keys contains a pre-installed app with a package name of com.miui.powerkeeper app (versionCode=40000, versionName=4.0.00) that allows unauthorized wireless settings modification via a confused deputy attack. This capability can be accessed by any app co-located on the device. El dispositivo Xiaomi Mi Mix Android con una huella digital de compilación de Xiaomi/lithium/lithium:6.0.1/MXB48T/7.1.5:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.miui.powerkeeper (versionCode=40000, versionName=4.0.00), que permite la modificación de la configuración inalámbrica no autorizada por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada en el dispositivo. • https://www.kryptowire.com/android-firmware-2019 • CWE-610: Externally Controlled Reference to a Resource in Another Sphere •
CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 1CVE-2019-8413
https://notcve.org/view.php?id=CVE-2019-8413
On Xiaomi MIX 2 devices with the 4.4.78 kernel, a NULL pointer dereference in the ioctl interface of the device file /dev/elliptic1 or /dev/elliptic0 causes a system crash via IOCTL 0x4008c575 (aka decimal 1074316661). En los dispositivos Xiaomi MIX 2 con kernel en versiones 4.4.78, una desreferencia de puntero NULL en la interfaz ioctl del archivo de dispositivo /dev/elliptic1 o /dev/elliptic0 provoca un cierre inesperado del sistema mediante la llamada IOCTL 0x4008c575 (también conocida como el decimal 1074316661). • https://github.com/datadancer/HIAFuzz/blob/master/MIX2_elliptic.md • CWE-476: NULL Pointer Dereference •