CVSS: 9.0EPSS: 0%CPEs: 4EXPL: 0CVE-2020-14102
https://notcve.org/view.php?id=CVE-2020-14102
There is command injection when ddns processes the hostname, which causes the administrator user to obtain the root privilege of the router. This affects Xiaomi router AX1800rom version < 1.0.336 and Xiaomi route RM1800 root version < 1.0.26. Se presenta una inyección de comando cuando ddns procesa el nombre de host, lo que causa al usuario administrador alcanzar privilegio de root del enrutador. Esto afecta al enrutador Xiaomi AX1800rom versión anterior a 1.0.336 y el enrutador Xiaomi RM1800 root versiones anteriores a 1.0.26 • https://privacy.mi.com/trust#/security/vulnerability-management/vulnerability-announcement/detail?id=23&locale=en • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2020-14098
https://notcve.org/view.php?id=CVE-2020-14098
The login verification can be bypassed by using the problem that the time is not synchronized after the router restarts. This affects Xiaomi router AX1800rom version < 1.0.336 and Xiaomi route RM1800 root version < 1.0.26. La comprobación de inicio de sesión puede ser omitida usando el problema de que la hora no se sincroniza después de que se reinicia el enrutador. Esto afecta al enrutador Xiaomi AX1800rom versiones anteriores a 1.0.336 y al enrutador Xiaomi RM1800 root versiones anteriores a 1.0.26 • https://privacy.mi.com/trust#/security/vulnerability-management/vulnerability-announcement/detail?id=22&locale=en • CWE-662: Improper Synchronization •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2020-14097
https://notcve.org/view.php?id=CVE-2020-14097
Wrong nginx configuration, causing specific paths to be downloaded without authorization. This affects Xiaomi router AX6 ROM version < 1.0.18. la configuración de nginx en la ROM AX6 del enrutador Xiaomi. (CVE-2020-14097) Una configuración de nginx incorrecta, causa que se descarguen rutas específicas sin autorización. Esto afecta la versión de la ROM AX6 del enrutador Xiaomi versiones anteriores a 1.0.18. • https://privacy.mi.com/trust#/security/vulnerability-management/vulnerability-announcement/detail?id=21&locale=en •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2020-14101
https://notcve.org/view.php?id=CVE-2020-14101
The data collection SDK of the router web management interface caused the leakage of the token. This affects Xiaomi router AX1800rom version < 1.0.336 and Xiaomi route RM1800 root version < 1.0.26. La compilación de datos SDK de la interfaz de administración web del enrutador causó el filtrado del token. Esto afecta al enrutador Xiaomi AX1800rom versiones anteriores a 1.0.336 y enrutador XiaomiRM1800 root versiones anteriores a 1.0.26 • https://privacy.mi.com/trust#/security/vulnerability-management/vulnerability-announcement/detail?id=24&locale=en •
CVSS: 10.0EPSS: 1%CPEs: 2EXPL: 0CVE-2020-14100
https://notcve.org/view.php?id=CVE-2020-14100
In Xiaomi router R3600 ROM version<1.0.66, filters in the set_WAN6 interface can be bypassed, causing remote code execution. The router administrator can gain root access from this vulnerability. En el enrutador Xiaomi R3600 ROM versiones anteriores a 1.0.66, los filtros en la interfaz set_WAN6 pueden ser omitidos, causando una ejecución de código remota. El administrador del enrutador puede conseguir acceso root a partir de esta vulnerabilidad • https://privacy.mi.com/trust#/security/vulnerability-management/vulnerability-announcement/detail?id=20&locale=en • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •