CVSS: 8.1EPSS: 0%CPEs: 2EXPL: 0CVE-2020-14104
https://notcve.org/view.php?id=CVE-2020-14104
08 Apr 2021 — A RACE CONDITION on XQBACKUP causes a decompression path error on Xiaomi router AX3600 with ROM version =1.0.50. UNA CONDICIÓN DE CARRERA en XQBACKUP causa un error de ruta de descompresión en el enrutador Xiaomi AX3600 con ROM versión 1.0.50 • https://privacy.mi.com/trust#/security/vulnerability-management/vulnerability-announcement/detail?id=26&locale=zh • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •
CVSS: 9.0EPSS: 1%CPEs: 4EXPL: 0CVE-2020-14102
https://notcve.org/view.php?id=CVE-2020-14102
13 Jan 2021 — There is command injection when ddns processes the hostname, which causes the administrator user to obtain the root privilege of the router. This affects Xiaomi router AX1800rom version < 1.0.336 and Xiaomi route RM1800 root version < 1.0.26. Se presenta una inyección de comando cuando ddns procesa el nombre de host, lo que causa al usuario administrador alcanzar privilegio de root del enrutador. Esto afecta al enrutador Xiaomi AX1800rom versión anterior a 1.0.336 y el enrutador Xiaomi RM1800 root vers... • https://privacy.mi.com/trust#/security/vulnerability-management/vulnerability-announcement/detail?id=23&locale=en • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2020-14098
https://notcve.org/view.php?id=CVE-2020-14098
13 Jan 2021 — The login verification can be bypassed by using the problem that the time is not synchronized after the router restarts. This affects Xiaomi router AX1800rom version < 1.0.336 and Xiaomi route RM1800 root version < 1.0.26. La comprobación de inicio de sesión puede ser omitida usando el problema de que la hora no se sincroniza después de que se reinicia el enrutador. Esto afecta al enrutador Xiaomi AX1800rom versiones anteriores a 1.0.336 y al enrutador Xiaomi RM1800 root versiones anteriores a 1.0.26 • https://privacy.mi.com/trust#/security/vulnerability-management/vulnerability-announcement/detail?id=22&locale=en • CWE-662: Improper Synchronization •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2020-14097
https://notcve.org/view.php?id=CVE-2020-14097
13 Jan 2021 — Wrong nginx configuration, causing specific paths to be downloaded without authorization. This affects Xiaomi router AX6 ROM version < 1.0.18. la configuración de nginx en la ROM AX6 del enrutador Xiaomi. (CVE-2020-14097) Una configuración de nginx incorrecta, causa que se descarguen rutas específicas sin autorización. Esto afecta la versión de la ROM AX6 del enrutador Xiaomi versiones anteriores a 1.0.18. • https://privacy.mi.com/trust#/security/vulnerability-management/vulnerability-announcement/detail?id=21&locale=en •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2020-14101
https://notcve.org/view.php?id=CVE-2020-14101
13 Jan 2021 — The data collection SDK of the router web management interface caused the leakage of the token. This affects Xiaomi router AX1800rom version < 1.0.336 and Xiaomi route RM1800 root version < 1.0.26. La compilación de datos SDK de la interfaz de administración web del enrutador causó el filtrado del token. Esto afecta al enrutador Xiaomi AX1800rom versiones anteriores a 1.0.336 y enrutador XiaomiRM1800 root versiones anteriores a 1.0.26 • https://privacy.mi.com/trust#/security/vulnerability-management/vulnerability-announcement/detail?id=24&locale=en •
CVSS: 10.0EPSS: 2%CPEs: 2EXPL: 0CVE-2020-14100
https://notcve.org/view.php?id=CVE-2020-14100
11 Sep 2020 — In Xiaomi router R3600 ROM version<1.0.66, filters in the set_WAN6 interface can be bypassed, causing remote code execution. The router administrator can gain root access from this vulnerability. En el enrutador Xiaomi R3600 ROM versiones anteriores a 1.0.66, los filtros en la interfaz set_WAN6 pueden ser omitidos, causando una ejecución de código remota. El administrador del enrutador puede conseguir acceso root a partir de esta vulnerabilidad • https://privacy.mi.com/trust#/security/vulnerability-management/vulnerability-announcement/detail?id=20&locale=en • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2020-14096
https://notcve.org/view.php?id=CVE-2020-14096
11 Sep 2020 — Memory overflow in Xiaomi AI speaker Rom version <1.59.6 can happen when the speaker verifying a malicious firmware during OTA process. Un desbordamiento de memoria en el altavoz Xiaomi AI Rom versiones anteriores a 1.59.6, puede ocurrir cuando el altavoz comprueba un firmware malicioso durante el proceso OTA • https://privacy.mi.com/trust#/security/vulnerability-management/vulnerability-announcement/detail?id=19&locale=en • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 9.8EPSS: 1%CPEs: 2EXPL: 0CVE-2020-10561
https://notcve.org/view.php?id=CVE-2020-10561
24 Jun 2020 — An issue was discovered on Xiaomi Mi Jia ink-jet printer < 3.4.6_0138. Injecting parameters to ippserver through the web management background, resulting in command execution vulnerabilities. Se detectó un problema en la impresora de inyección de tinta Xiaomi Mi Jia versiones anteriores a 3.4.6_0138. Inyectar parámetros en ippserver por medio del fondo de administración web, resultando en vulnerabilidades de ejecución de comandos • https://privacy.mi.com/trust#/security/vulnerability-management/vulnerability-announcement/detail?id=13 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2020-11961
https://notcve.org/view.php?id=CVE-2020-11961
24 Jun 2020 — Xiaomi router R3600 ROM before 1.0.50 is affected by a sensitive information leakage caused by an insecure interface get_config_result without authentication El enrutador Xiaomi R3600 ROM versiones anteriores a 1.0.50, está afectado por un filtrado de información confidencial causado por una interfaz no segura de get_config_result sin autenticación • https://privacy.mi.com/trust#/security/vulnerability-management/vulnerability-announcement/detail?id=16 • CWE-306: Missing Authentication for Critical Function •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2020-11960
https://notcve.org/view.php?id=CVE-2020-11960
24 Jun 2020 — Xiaomi router R3600 ROM before 1.0.50 is affected by a vulnerability when checking backup file in c_upload interface let attacker able to extract malicious file under any location in /tmp, lead to possible RCE and DoS El enrutador Xiaomi R3600 ROM versiones anteriores a 1.0.50, está afectada por una vulnerabilidad cuando se comprueba el archivo de copia de seguridad en la interfaz de c_upload, lo que permite al atacante extraer archivos maliciosos en cualquier ubicación en /tmp, conllevando a una posible RC... • https://privacy.mi.com/trust#/security/vulnerability-management/vulnerability-announcement/detail?id=15 •