CVSS: 3.3EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15415
https://notcve.org/view.php?id=CVE-2019-15415
The Xiaomi Redmi 5 Android device with a build fingerprint of xiaomi/vince/vince:7.1.2/N2G47H/V9.5.4.0.NEGMIFA:user/release-keys contains a pre-installed app with a package name of com.huaqin.factory app (versionCode=1, versionName=QL1711_201803291645) that allows unauthorized wireless settings modification via a confused deputy attack. This capability can be accessed by any app co-located on the device. El dispositivo Xiaomi Redmi 5 Android con una huella digital de compilación de xiaomi/vince/vince:7.1.2/N2G47H/V9.5.4.0.NEGMIFA:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.huaqin.factory (versionCode=1, versionName=QL1711_201803291645), que permite la modificación de la configuración inalámbrica no autorizada por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada en el dispositivo. • https://www.kryptowire.com/android-firmware-2019 • CWE-610: Externally Controlled Reference to a Resource in Another Sphere •
CVSS: 5.3EPSS: 1%CPEs: 39EXPL: 3CVE-2018-20523 – Xiaomi browser 10.2.4.g - Browser Search History Disclosure
https://notcve.org/view.php?id=CVE-2018-20523
Xiaomi Stock Browser 10.2.4.g on Xiaomi Redmi Note 5 Pro devices and other Redmi Android phones allows content provider injection. In other words, a third-party application can read the user's cleartext browser history via an app.provider.query content://com.android.browser.searchhistory/searchhistory request. Xiaomi stock Browser versión 10.2.4.g en dispositivos Xiaomi Redmi Note 5 Pro y otros teléfonos Redmi Android, permite inyección en el proveedor de contenido. En otras palabras, una aplicación de terceros puede leer el historial del explorador del usuario en texto sin cifrar mediante una petición app.provider.query content://com.android.browser.searchhistory/searchhistory. Xiaomi browser version 10.2.4.g suffers from a browser search history disclosure vulnerability. • https://www.exploit-db.com/exploits/50188 http://packetstormsecurity.com/files/163796/Xiaomi-10.2.4.g-Information-Disclosure.html https://sec.xiaomi.com https://vishwarajbhattrai.wordpress.com/2019/03/22/content-provider-injection-in-xiaomi-stock-browser • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •