V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
nvd

Mi

Уязвимости
101
Эксплуатируемые
1
Критический
23
Высокий
40

Топ продуктов

Miui9Ax36007Ax3600 Firmware6Xiaomi R36005Xiaomi R3600 Firmware5Ax18004Ax1800 Firmware4Mi Browser4Rm18004Rm1800 Firmware4A2 Lite3A2 Lite Firmware3Dgnwg03lm3Dgnwg03lm Firmware3Mccgq01lm3Mccgq01lm Firmware3Mi Router 33Miwifi Os3Redmi 63Redmi 6 Firmware3

Топ уязвимостей

CVE-2023-26324В продукте XiaomiGetApps существует уязвимость выполнения кода. Эта уязвимость вызвана обходом логики проверки, и злоумышленник может использовать ее для выполнения вредоносного кода.
CVE-2023-26323В продукте Xiaomi App Market существует уязвимость выполнения кода. Уязвимость вызвана небезопасной конфигурацией, и злоумышленники могут использовать ее для выполнения произвольного кода.
CVE-2023-26322В продукте XiaomiGetApps существует уязвимость выполнения кода. Эта уязвимость вызвана обходом логики проверки, и злоумышленник может использовать ее для выполнения вредоносного кода.
CVE-2023-26321В продукте Xiaomi File Manager (международная версия) существует уязвимость обхода пути. Уязвимость вызвана неотфильтрованными специальными символами, и злоумышленники могут использовать ее для перезаписи и выполнения кода в файле.
CVE-2023-26317Маршрутизаторы Xiaomi имеют внешний интерфейс, который может привести к инъекции команд. Уязвимость вызвана слабой фильтрацией ответов от внешних интерфейсов. Злоумышленники могут использовать эту уязвимость для получения доступа к маршрутизатору путем перехвата ISP или маршрутизации верхнего уровня.
CVE-2020-14131Центр безопасности Xiaomi выражает сердечную благодарность ADLab of VenusTech! В то же время мы также приветствуем больше выдающихся и профессиональных экспертов по безопасности и команды безопасности, которые присоединятся к Центру безопасности Mi (MiSRC), чтобы совместно обеспечить безопасный доступ миллионов пользователей Xiaomi по всему миру.
CVE-2020-14129В продукте Xiaomi существует логическая уязвимость. Уязвимость вызвана сбоем проверки личности, который может быть использован злоумышленником, который может получить краткое повышение привилегий.
CVE-2020-14124В librsa.so, вызываемой интерфейсом getwifipwdurl, происходит переполнение буфера, что приводит к выполнению кода на маршрутизаторе Xiaomi AX3600 с версией ПЗУ =rom< 1.1.12.
CVE-2020-14119В интерфейсе addMeshNode файла xqnetwork.lua присутствует внедрение команд, что приводит к выполнению команд под административными правами на маршрутизаторе Xiaomi AX3600 с версией ПЗУ rom< 1.1.12.
CVE-2020-14115Существует уязвимость, связанная с инъекцией команд, в роутере Xiaomi AX3600. Уязвимость вызвана отсутствием проверки обнаружения входящих данных. Злоумышленники могут использовать эту уязвимость для выполнения кода.
CVE-2020-14100В роутере Xiaomi R3600 версии ROM <1.0.66 фильтры в интерфейсе set_WAN6 могут быть обойдены, что приводит к удаленному выполнению кода. Администратор роутера может получить root-доступ из-за этой уязвимости.
CVE-2020-14096Переполнение памяти в AI-колонке Xiaomi версии Rom <1.59.6 может произойти, когда колонка проверяет вредоносную прошивку во время процесса OTA.
CVE-2020-14095В роутере Xiaomi R3600, версия ROM <1.0.20, служба подключения подвержена уязвимости инъекции через веб-интерфейс, что приводит к переполнению стека или удаленному выполнению кода.
CVE-2020-14094В роутере Xiaomi R3600, версия ROM <1.0.20, возможна инъекция в службу подключения через веб-интерфейс, что приводит к переполнению стека или удаленному выполнению кода.
CVE-2020-11960Маршрутизатор Xiaomi R3600 ROM до 1.0.50 подвержен уязвимости при проверке файла резервной копии в интерфейсе c_upload, что позволяет злоумышленнику извлекать вредоносный файл в любое место в /tmp, что приводит к возможному RCE и DoS.
CVE-2020-10561Проблема обнаружена в струйном принтере Xiaomi Mi Jia < 3.4.6_0138. Внедрение параметров в ippserver через веб-интерфейс управления приводит к уязвимостям выполнения команд.
CVE-2019-18370Обнаружена проблема на устройствах Xiaomi Mi WiFi R3G до версии 2.28.23-stable. Файл резервной копии имеет формат tar.gz. После загрузки приложение использует команду tar zxf для декомпрессии, поэтому можно контролировать содержимое файлов в распакованном каталоге. Кроме того, скрипт sh приложения для тестирования скорости загрузки и скачивания считывает список URL из /tmp/speedtest_urls.xml, и существует уязвимость внедрения команд, как показано на примере api/xqnetdetect/netspeed.
CVE-2019-15913Обнаружена проблема на устройствах Xiaomi DGNWG03LM, ZNCZ03LM, MCCGQ01LM, WSDCGQ01LM, RTCGQ01LM. Из-за небезопасной передачи ключей в ZigBee-коммуникации, приводящей к тому, что злоумышленники получают конфиденциальную информацию и совершают атаки типа "отказ в обслуживании", захватывают устройства умного дома и подделывают сообщения.
CVE-2018-18698Проблема была обнаружена на устройствах Xiaomi Mi A1 tissot_sprout:8.1.0/OPM1.171019.026/V9.6.4.0.ODHMIFE. Они хранят пароли Wi-Fi в открытом виде в logcat во время настройки телефона в качестве точки доступа.
CVE-2018-14060Внедрение команд ОС в функции настроек режима AP в /cgi-bin/luci /api/misystem/set_router_wifiap на устройствах Xiaomi R3D до 2.26.4 позволяет злоумышленнику выполнять любые команды через специально созданные данные JSON.
CVE-2018-14010Внедрение команд ОС в функции настроек гостевого Wi-Fi в /cgi-bin/luci на устройствах Xiaomi R3P до 2.14.5, R3C до 2.12.15, R3 до 2.22.15 и R3D до 2.26.4 позволяет злоумышленнику выполнять любые команды через специально созданные данные JSON.
CVE-2024-4406Xiaomi Pro 13 GetApps integral-dialog-page Уязвимость удаленного выполнения кода из-за межсайтового скриптинга. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках смартфонов Xiaomi Pro 13. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, поскольку целевой объект должен посетить вредоносную страницу или открыть вредоносный файл. Конкретный недостаток существует в файле integral-dialog-page.html. При анализе параметра integralInfo процесс неправильно очищает данные, предоставленные пользователем, что может привести к внедрению произвольного скрипта. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего пользователя. Был ZDI-CAN-22332.
CVE-2024-4405Xiaomi Pro 13 mimarket manual-upgrade Уязвимость удаленного выполнения кода из-за межсайтового скриптинга. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках смартфонов Xiaomi Pro 13. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, поскольку целевой объект должен посетить вредоносную страницу или открыть вредоносный файл. Конкретный недостаток существует в файле manual-upgrade.html. При анализе параметра manualUpgradeInfo процесс неправильно очищает данные, предоставленные пользователем, что может привести к внедрению произвольного скрипта. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего пользователя. Был ZDI-CAN-22379.
CVE-2024-45348Xiaomi Router AX9000 имеет уязвимость внедрения команд после авторизации. Эта уязвимость вызвана отсутствием проверки пользовательского ввода, и злоумышленник может использовать эту уязвимость для выполнения произвольного кода.
CVE-2023-26315В маршрутизаторе Xiaomi AX9000 есть уязвимость инъекции команд после аутентификации. Эта уязвимость вызвана отсутствием фильтрации ввода, что позволяет злоумышленнику использовать ее для получения root-доступа к устройству.
Открыть в каталоге с фильтром по вендору →