PT-2022-17938 · Pax A930+1 · Pax A930+1
Wr3Nchsr
·
Publicado
2022-12-16
·
Atualizado
2024-10-27
·
CVE-2022-26579
CVSS v3.1
6.0
Média
| Vetor | AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H |
Nome do software vulnerável e versões afetadas
Dispositivo PAX A930 com versões do PayDroid 7.1.1 Virgo V04.3.26T1 20210419 a 7.1.1 Virgo V04.4.02 20211201
Descrição
A vulnerabilidade permite que um invasor com privilégios de root instale pacotes não assinados no dispositivo. Para explorar essa vulnerabilidade, o invasor deve ter acesso ao shell do dispositivo e obter privilégios de root. Isso pode ser feito copiando o APK para
/data/app, definindo as permissões apropriadas e reiniciando o dispositivo.Recomendações
Para a versão 7.1.1 Virgo V04.3.26T1 20210419 do PayDroid, considere restringir o acesso ao shell do dispositivo para impedir que invasores obtenham privilégios de root.
Para a versão 7.1.1 Virgo V04.4.02 20211201 do PayDroid, evite usar o recurso de instalação de pacotes do dispositivo até que uma correção esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Insufficient Verification of Data Authenticity
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pax A930
Paydroid