Plataforma
android
Componente
xiaomi-mi-connect-service
Corregido en
3.1.896
La vulnerabilidad CVE-2024-45347 es un fallo de acceso no autorizado descubierto en la aplicación Xiaomi Mi Connect Service. Esta falla se debe a una lógica de validación defectuosa que permite a los atacantes obtener acceso no autorizado a los dispositivos de las víctimas. La vulnerabilidad afecta a las versiones 3.1.895.10 y anteriores, y se recomienda actualizar a la versión 3.1.896 para solucionar el problema.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a un dispositivo Android que ejecute la aplicación Xiaomi Mi Connect Service. Esto podría permitir al atacante acceder a datos sensibles almacenados en el dispositivo, como información de contacto, historial de llamadas, mensajes y otros datos personales. Además, el atacante podría potencialmente controlar el dispositivo de forma remota, instalar malware o realizar otras acciones maliciosas. La severidad CRÍTICA de esta vulnerabilidad indica un alto riesgo de explotación y un impacto significativo en la confidencialidad, integridad y disponibilidad de los datos del usuario.
La vulnerabilidad CVE-2024-45347 fue publicada el 23 de junio de 2025. Actualmente no se dispone de información sobre campañas de explotación activas o la existencia de pruebas de concepto (PoC) públicas. La puntuación CVSS de 9.6 indica una alta probabilidad de explotación si se dispone de un PoC. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Users who have not updated their Xiaomi Mi Connect Service application to version 3.1.896 or later are at risk. This includes users who have disabled automatic updates or are using older devices that may not be compatible with the latest version of the application. Individuals who rely on the Mi Connect Service to manage their smart home devices are particularly vulnerable.
• android / app:
# Check for Mi Connect Service version
Get-InstalledPackage -Name "com.xiaomi.smarthome"• android / app:
# Check app permissions
adb shell dumpsys package com.xiaomi.smarthome | findstr "permission"• android / app:
# Check for suspicious network activity
netstat -an | grep com.xiaomi.smarthomedisclosure
Estado del Exploit
EPSS
0.05% (17% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-45347 es actualizar la aplicación Xiaomi Mi Connect Service a la versión 3.1.896 o posterior. Si la actualización no es inmediatamente posible, se recomienda revisar los permisos de la aplicación y restringir el acceso a datos sensibles. Aunque no hay soluciones alternativas directas, monitorear la actividad de la red del dispositivo en busca de conexiones inusuales podría ayudar a detectar una posible explotación. Después de la actualización, verifique que la aplicación solicite y valide correctamente los permisos antes de acceder a los datos del usuario.
Actualice la aplicación Mi Connect Service a la última versión disponible en la tienda de aplicaciones. Esto solucionará la vulnerabilidad de acceso no autorizado. Consulte el boletín de seguridad de Xiaomi para obtener más detalles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-45347 is a CRITICAL vulnerability in Xiaomi Mi Connect Service allowing unauthorized access due to flawed validation logic. It affects versions 3.1.895.10–3.1.895.10.
You are affected if you are using Xiaomi Mi Connect Service version 3.1.895.10–3.1.895.10 and have not upgraded.
Upgrade Xiaomi Mi Connect Service to version 3.1.896 or later. Enable automatic updates to ensure you receive the fix promptly.
While no public exploits are currently available, the CRITICAL severity suggests a high likelihood of active exploitation.
Refer to the official Xiaomi security advisory for details and updates regarding CVE-2024-45347.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo build.gradle y te decimos al instante si estás afectado.