Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación de com.qualcomm.qti.callenhancement en el dispositivo Xiaomi Mi A2 Lite Android (CVE-2019-15473)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/11/2019
Última modificación:
19/11/2019
Descripción
El dispositivo Xiaomi Mi A2 Lite Android con una huella digital de compilación de xiaomi/jasmine/jasmine_sprout:9/PKQ1.180904.001/V10.0.2.0.PDIMIFJ:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación de com.qualcomm.qti.callenhancement (versionCode=28, versionName=9), que permite la grabación no autorizada de audio del micrófono por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada en el dispositivo. Esta aplicación permite a una aplicación de terceros utilizar su interfaz abierta para grabar llamadas telefónicas en un almacenamiento externo.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:mi:a2_lite_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:mi:a2_lite:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página