Adam Klis

**Nome do software vulnerável e versões afetadas** Dispositivos POS PAX baseados em Android com versões anteriores à PayDroid 8.1.0 Sagittarius V11.1.61 20240226 **Descrição** A vulnerabilidade permite a escalada de privilégios por meio de scripts configurados incorretamente. Um invasor precisa ter acesso ao shell com privilégios de conta de sistema para explorar essa vulnerabilidade. **Recomendações** Para versões anteriores à PayDroid 8.1.0 Sagittarius V11.1.61 20240226, atualize o firmware para a versão PayDroid 8.1.0 Sagittarius V11.1.61 20240226 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Dispositivos POS PAX baseados em Android com versões do PayDroid 8.1.0 Sagittarius V11.1.50 20230614 ou anteriores **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas no sistema operacional PayDroid, permitindo que um invasor execute comandos arbitrários com privilégios de conta do sistema por meio de injeção de shell, iniciando com uma palavra específica. O invasor deve ter acesso ao shell do dispositivo para explorar essa vulnerabilidade. **Recomendações** Para dispositivos POS PAX baseados em Android com versões do PayDroid 8.1.0 Sagittarius V11.1.50 20230614 ou anteriores, considere restringir o acesso ao shell do dispositivo para minimizar o risco de exploração. Como solução temporária, limite o uso de injeção de shell para impedir a execução de comandos arbitrários até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Dispositivos POS PAX baseados em Android com versões do PayDroid 8.1.0 Sagittarius V11.1.45 20230314 ou anteriores **Descrição** A vulnerabilidade está relacionada à presença de comandos de configuração não documentados no sistema operacional PayDroid. A exploração dessa vulnerabilidade pode permitir que um invasor execute código arbitrário. O invasor deve ter acesso físico via USB ao dispositivo para explorar essa vulnerabilidade. Isso pode levar à sobrescrita da partição assinada e à subsequente execução de código local por meio de um comando oculto. **Recomendações** Para dispositivos POS PAX baseados em Android com versões do PayDroid 8.1.0 Sagittarius V11.1.45 20230314 ou anteriores, considere restringir o acesso físico via USB ao dispositivo para minimizar o risco de exploração. Como solução temporária, considere desativar qualquer funcionalidade que possa estar relacionada aos comandos de configuração não documentados até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Dispositivos POS PAX baseados em Android com versões do PayDroid 8.1.0 Sagittarius V11.1.50 20230614 ou anteriores **Descrição** A vulnerabilidade se deve à validação insuficiente de entradas no sistema operacional PayDroid, permitindo que um invasor execute comandos arbitrários com privilégios elevados por meio de links simbólicos maliciosos. O invasor precisa ter acesso ao shell do dispositivo para explorar essa vulnerabilidade. **Recomendações** Para dispositivos POS PAX baseados em Android com versões do PayDroid 8.1.0 Sagittarius V11.1.50 20230614 ou anteriores, considere restringir o acesso ao shell do dispositivo para minimizar o risco de exploração. Como solução temporária, considere desativar o uso de links simbólicos até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Dispositivos PAX A920Pro/A50 com versões do PayDroid 8.1.0 Sagittarius V11.1.50 20230614 ou anteriores **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas no sistema operacional PayDroid, permitindo que um invasor execute código arbitrário por meio de injeção de parâmetros, contornando a validação de entradas ao atualizar uma partição específica. O invasor deve ter acesso físico via USB ao dispositivo para explorar essa vulnerabilidade. **Recomendações** Para dispositivos PAX A920Pro/A50 com versões do PayDroid 8.1.0 Sagittarius V11.1.50 20230614 ou anteriores, considere restringir o acesso físico via USB ao dispositivo para minimizar o risco de exploração. Como solução temporária, evite atualizar partições específicas até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.