CVSS: 3.3EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15428
https://notcve.org/view.php?id=CVE-2019-15428
The Xiaomi Mi Note 2 Android device with a build fingerprint of Xiaomi/scorpio/scorpio:6.0.1/MXB48T/7.1.5:user/release-keys contains a pre-installed app with a package name of com.miui.powerkeeper app (versionCode=40000, versionName=4.0.00) that allows unauthorized wireless settings modification via a confused deputy attack. This capability can be accessed by any app co-located on the device. El dispositivo Xiaomi Mi Note 2 Android con una huella digital de compilación de Xiaomi/scorpio/scorpio:6.0.1/MXB48T/7.1.5:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.miui.powerkeeper (versionCode=40000, versionName=4.0.00), que permite la modificación de la configuración inalámbrica no autorizada por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada en el dispositivo. • https://www.kryptowire.com/android-firmware-2019 • CWE-610: Externally Controlled Reference to a Resource in Another Sphere •
CVSS: 3.3EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15427
https://notcve.org/view.php?id=CVE-2019-15427
The Xiaomi Mi Mix Android device with a build fingerprint of Xiaomi/lithium/lithium:6.0.1/MXB48T/7.1.5:user/release-keys contains a pre-installed app with a package name of com.miui.powerkeeper app (versionCode=40000, versionName=4.0.00) that allows unauthorized wireless settings modification via a confused deputy attack. This capability can be accessed by any app co-located on the device. El dispositivo Xiaomi Mi Mix Android con una huella digital de compilación de Xiaomi/lithium/lithium:6.0.1/MXB48T/7.1.5:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.miui.powerkeeper (versionCode=40000, versionName=4.0.00), que permite la modificación de la configuración inalámbrica no autorizada por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada en el dispositivo. • https://www.kryptowire.com/android-firmware-2019 • CWE-610: Externally Controlled Reference to a Resource in Another Sphere •
CVSS: 3.3EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15426
https://notcve.org/view.php?id=CVE-2019-15426
The Xiaomi 5S Plus Android device with a build fingerprint of Xiaomi/natrium/natrium:6.0.1/MXB48T/7.1.5:user/release-keys contains a pre-installed app with a package name of com.miui.powerkeeper app (versionCode=40000, versionName=4.0.00) that allows unauthorized wireless settings modification via a confused deputy attack. This capability can be accessed by any app co-located on the device. El dispositivo Xiaomi 5S Plus Android con una huella digital de compilación de Xiaomi/natrium/natrium:6.0.1/MXB48T/7.1.5:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.miui.powerkeeper (versionCode=40000, versionName=4.0.00), que permite la modificación de la configuración inalámbrica no autorizada por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada en el dispositivo. • https://www.kryptowire.com/android-firmware-2019 • CWE-610: Externally Controlled Reference to a Resource in Another Sphere •
CVSS: 3.3EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15415
https://notcve.org/view.php?id=CVE-2019-15415
The Xiaomi Redmi 5 Android device with a build fingerprint of xiaomi/vince/vince:7.1.2/N2G47H/V9.5.4.0.NEGMIFA:user/release-keys contains a pre-installed app with a package name of com.huaqin.factory app (versionCode=1, versionName=QL1711_201803291645) that allows unauthorized wireless settings modification via a confused deputy attack. This capability can be accessed by any app co-located on the device. El dispositivo Xiaomi Redmi 5 Android con una huella digital de compilación de xiaomi/vince/vince:7.1.2/N2G47H/V9.5.4.0.NEGMIFA:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.huaqin.factory (versionCode=1, versionName=QL1711_201803291645), que permite la modificación de la configuración inalámbrica no autorizada por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada en el dispositivo. • https://www.kryptowire.com/android-firmware-2019 • CWE-610: Externally Controlled Reference to a Resource in Another Sphere •
CVSS: 3.3EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15340
https://notcve.org/view.php?id=CVE-2019-15340
The Xiaomi Redmi 6 Pro Android device with a build fingerprint of xiaomi/sakura_india/sakura_india:8.1.0/OPM1.171019.019/V9.6.4.0.ODMMIFD:user/release-keys contains a pre-installed app with a package name of com.huaqin.factory app (versionCode=1, versionName=QL1715_201805292006) that allows any app co-located on the device to programmatically disable and enable Wi-Fi, Bluetooth, and GPS without the corresponding access permission through an exported interface. El dispositivo Xiaomi Redmi 6 Pro Android con una huella digital de compilación de xiaomi/sakura_india/sakura_india:8.1.0/OPM1.171019.019/V9.6.4.0.ODMMIFD:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.huaqin.factory (versionCode=1, versionName=QL1715_201805292006), que permite a cualquier aplicación ubicada en el dispositivo deshabilitar y habilitar el Wi-Fi, Bluetooth y GPS mediante programación sin el permiso de acceso correspondiente por medio de una interfaz exportada. • https://www.kryptowire.com/android-firmware-2019 • CWE-732: Incorrect Permission Assignment for Critical Resource •