正文

Xiaomi MIUI 信息泄露漏洞

admin
admin V管理员 /0 评论 /14 阅读
0419
此篇文章发布距今已超过1114天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2020-9531

利用情况

暂无

补丁情况

N/A

披露时间

2020-03-07
漏洞描述
在小米MIUI V11.0.5.0.QFAEUXM设备上发现一个问题。在GetApps的Web资源中(小米网),则读取并执行传入的参数。读取资源文件后,相关组件打开传入URL的链接。虽然URL是安全的并且可以通过安全检测,但是参数中携带的数据是被加载和执行的。攻击者可以使用NFC工具接近用户未锁定的手机,从而导致安装应用程序和信息泄露。此问题已在版本:2001122上修复。
解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://sec.xiaomi.com/post/180
参考链接
https://sec.xiaomi.com/post/180
https://www.zerodayinitiative.com/advisories/ZDI-20-287/
https://www.zerodayinitiative.com/advisories/ZDI-20-288/
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
系统 mi miui_firmware 11.0.5.0.qfaeuxm -
运行在以下环境
硬件 mi miui - -
CVSS3评分 7.3
  • 攻击路径 相邻
  • 攻击复杂度 低
  • 权限要求 无
  • 影响范围 未更改
  • 用户交互 需要
  • 可用性 无
  • 保密性 高
  • 完整性 高
CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N CWE-ID 漏洞类型 CWE-200 信息暴露 NVD-CWE-noinfo