CVSS: 8.8EPSS: 0%CPEs: 22EXPL: 0CVE-2020-5589
https://notcve.org/view.php?id=CVE-2020-5589
SONY Wireless Headphones WF-1000X, WF-SP700N, WH-1000XM2, WH-1000XM3, WH-CH700N, WH-H900N, WH-XB700, WH-XB900N, WI-1000X, WI-C600N and WI-SP600N with firmware versions prior to 4.5.2 have vulnerability that someone within the Bluetooth range can make the Bluetooth pairing and operate such as changing volume of the product. SONY Wireless Headphones WF-1000X, WF-SP700N, WH-1000XM2, WH-1000XM3, WH-CH700N, WH-H900N, WH-XB700, WH-XB900N, WI-1000X, WI-C600N y WI-SP600N con versiones de firmware anteriores a la 4.5.2 tienen la vulnerabilidad de que alguien dentro del rango del Bluetooth pueda hacer el emparejamiento Bluetooth y operar como cambiar el volumen del producto • https://jvn.jp/en/jp/JVN67447798 https://www.sony.com/electronics/support/audio-video-headphones • CWE-306: Missing Authentication for Critical Function •
CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 1CVE-2019-19364
https://notcve.org/view.php?id=CVE-2019-19364
A weak malicious user can escalate its privilege whenever CatalystProductionSuite.2019.1.exe (version 1.1.0.21) and CatalystBrowseSuite.2019.1.exe (version 1.1.0.21) installers run. The vulnerability is in the form of DLL Hijacking. The installers try to load DLLs that don’t exist from its current directory; by doing so, an attacker can quickly escalate its privileges. Un usuario malintencionado débil puede escalar sus privilegios siempre que se ejecuten los instaladores CatalystProductionSuite.2019.1.exe (versión 1.1.0.21) y CatalystBrowseSuite.2019.1.exe (versión 1.1.0.21). La vulnerabilidad está en forma de secuestro de DLL. • https://gist.github.com/Eli-Paz/482b514320009f3e76ea712cde3bc350 • CWE-427: Uncontrolled Search Path Element •
CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15743
https://notcve.org/view.php?id=CVE-2019-15743
The Sony Xperia Touch Android device with a build fingerprint of Sony/blanc_windy/blanc_windy:7.0/LOIRE-SMART-BLANC-1.0.0-170530-0834/1:user/dev-keys contains a pre-installed app with a package name of com.sonymobile.android.maintenancetool.testmic app (versionCode=24, versionName=7.0) that allows unauthorized microphone audio recording via a confused deputy attack. This capability can be accessed by any app co-located on the device. This app allows a third-party app to use its open interface to record audio to external storage. El dispositivo Sony Xperia Touch Android con una huella digital de compilación de Sony/blanc_windy/blanc_windy:7.0/LOIRE-SMART-BLANC-1.0.0-170530-0834/1:user/dev-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.sonymobile.android.maintenancetool.testmic (versionCode=24, versionName=7.0), que permite la grabación de audio de micrófono no autorizado por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada en el dispositivo. • https://www.kryptowire.com/android-firmware-2019 • CWE-610: Externally Controlled Reference to a Resource in Another Sphere •
CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15416
https://notcve.org/view.php?id=CVE-2019-15416
The Sony keyaki_kddi Android device with a build fingerprint of Sony/keyaki_kddi/keyaki_kddi:7.1.1/TONE3-3.0.0-KDDI-170517-0326/1:user/dev-keys contains a pre-installed app with a package name of com.kddi.android.packageinstaller app (versionCode=70008, versionName=08.10.03) that allows other pre-installed apps to perform app installation via an accessible app component. This capability can be accessed by any pre-installed app on the device which can obtain signatureOrSystem permissions that are required by other other pre-installed apps that exported their capabilities to other pre-installed app. El dispositivo Sony keyaki_kddi Android con una huella digital de Sony/keyaki_kddi/keyaki_kddi:7.1.1/TONE3-3.0.0-KDDI-170517-0326/1:user/dev-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.kddi.android.packageinstaller (versionCode=70008, versionName=08.10.03), que permite a otras aplicaciones preinstaladas realizar la instalación de la aplicación por medio de un componente de aplicación accesible. Esta capacidad puede ser accedida mediante cualquier aplicación preinstalada en el dispositivo que pueda obtener permisos signatureOrSystem que son requeridos mediante otras aplicaciones preinstaladas que exportaron sus capacidades hacia otra aplicación preinstalada. • https://www.kryptowire.com/android-firmware-2019 •
CVSS: 3.3EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15744
https://notcve.org/view.php?id=CVE-2019-15744
The Sony Xperia Xperia XZs Android device with a build fingerprint of Sony/keyaki_softbank/keyaki_softbank:7.1.1/TONE3-3.0.0-SOFTBANK-170517-0323/1:user/dev-keys contains a pre-installed app with a package name of jp.softbank.mb.tdrl app (versionCode=1413005, versionName=1.3.0) that allows unauthorized wireless settings modification via a confused deputy attack. This capability can be accessed by any app co-located on the device. El dispositivo Sony Xperia Xperia XZs Android con una huella digital de compilación de Sony/keyaki_softbank/keyaki_softbank:7.1.1/TONE3-3.0.0-SOFTBANK-170517-0323/1:user/dev-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación jp.softbank.mb.tdrl (versionCode=1413005, versionName=1.3.0), que permite la modificación de la configuración inalámbrica no autorizada por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada en el dispositivo. • https://www.kryptowire.com/android-firmware-2019 • CWE-610: Externally Controlled Reference to a Resource in Another Sphere •