PT-2020-20721 · Xiaomi · Miui
Publicado
2020-03-06
·
Atualizado
2022-01-01
·
CVE-2020-9531
CVSS v3.1
7.3
Alta
| Vetor | AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Xiaomi MIUI anteriores à 2001122
Descrição
Foi descoberta uma vulnerabilidade nos recursos da Web do GetApps (com.xiaomi.mipicks), onde os parâmetros passados são lidos e executados. Após a leitura dos arquivos de recursos, os componentes relevantes abrem o link da URL recebida, e os dados contidos nos parâmetros são carregados e executados. Isso pode ser explorado por um invasor usando ferramentas NFC para se aproximar o suficiente do telefone desbloqueado de um usuário, potencialmente causando a instalação de aplicativos e o vazamento de informações.
Recomendações
Para versões anteriores à 2001122, atualize para a versão 2001122 ou posterior para resolver o problema.
Como solução temporária, considere restringir o uso do recurso GetApps até que uma correção seja aplicada.
Evite usar ferramentas NFC perto de dispositivos desbloqueados para minimizar o risco de exploração.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Miui