CVSS: 6.3EPSS: 0%CPEs: 2EXPL: 1CVE-2023-46919
https://notcve.org/view.php?id=CVE-2023-46919
Phlox com.phlox.simpleserver (aka Simple HTTP Server) 1.8 and com.phlox.simpleserver.plus (aka Simple HTTP Server PLUS) 1.8.1-plus have a hardcoded aKySWb2jjrr4dzkYXczKRt7K encryption key. The threat is from a man-in-the-middle attacker who can intercept and potentially modify data during transmission. Phlox com.phlox.simpleserver (también conocido como Simple HTTP Server) 1.8 y com.phlox.simpleserver.plus (también conocido como Simple HTTP Server PLUS) 1.8.1-plus tienen una clave de cifrado aKySWb2jjrr4dzkYXczKRt7K codificada. La amenaza proviene de un atacante intermediario que puede interceptar y potencialmente modificar datos durante la transmisión. Phlox com.phlox.simpleserver (aka Simple HTTP Server) 1.8 and com.phlox.simpleserver.plus (aka Simple HTTP Server PLUS) 1.8.1-plus have a hardcoded aKySWb2jjrr4dzkYXczKRt7K (AES) encryption key. • https://github.com/actuator/com.phlox.simpleserver/blob/main/CWE-321.md • CWE-798: Use of Hard-coded Credentials •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 3CVE-2023-43955
https://notcve.org/view.php?id=CVE-2023-43955
The com.phlox.tvwebbrowser TV Bro application through 2.0.0 for Android mishandles external intents through WebView. This allows attackers to execute arbitrary code, create arbitrary files. and perform arbitrary downloads via JavaScript that uses takeBlobDownloadData. La aplicación com.phlox.tvwebbrowser TV Bro hasta la versión 2.0.0 para Android maneja mal los intents externos a través de WebView. Esto permite a los atacantes ejecutar código arbitrario y crear archivos arbitrarios. y realizar descargas arbitrarias a través de JavaScript que utiliza takeBlobDownloadData. • https://github.com/actuator/com.phlox.tvwebbrowser https://github.com/actuator/com.phlox.tvwebbrowser/blob/main/CWE-94.md https://github.com/actuator/com.phlox.tvwebbrowser/blob/main/poc.apk https://github.com/truefedex/tv-bro/pull/182#issue-1901769895 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 4.6EPSS: 0%CPEs: 1EXPL: 1CVE-2023-46918
https://notcve.org/view.php?id=CVE-2023-46918
Phlox com.phlox.simpleserver.plus (aka Simple HTTP Server PLUS) 1.8.1-plus has an Android manifest file that contains an entry with the android:allowBackup attribute set to true. This could be leveraged by an attacker with physical access to the device. Phlox com.phlox.simpleserver.plus (aka Simple HTTP Server PLUS) 1.8.1-plus tiene un archivo de manifiesto de Android que contiene una entrada con el atributo android:allowBackup establecido en verdadero. Esto podría ser aprovechado por un atacante con acceso físico al dispositivo. • https://github.com/actuator/com.phlox.simpleserver/blob/main/CWE-321.md • CWE-798: Use of Hard-coded Credentials •