PT-2024-1563 · Pax · Paydroid
Adam Klis
+1
·
Publicado
2024-01-15
·
Atualizado
2024-10-10
·
CVE-2023-42136
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Dispositivos POS PAX baseados em Android com versões do PayDroid 8.1.0 Sagittarius V11.1.50 20230614 ou anteriores
Descrição
A vulnerabilidade existe devido à validação insuficiente de entradas no sistema operacional PayDroid, permitindo que um invasor execute comandos arbitrários com privilégios de conta do sistema por meio de injeção de shell, iniciando com uma palavra específica. O invasor deve ter acesso ao shell do dispositivo para explorar essa vulnerabilidade.
Recomendações
Para dispositivos POS PAX baseados em Android com versões do PayDroid 8.1.0 Sagittarius V11.1.50 20230614 ou anteriores, considere restringir o acesso ao shell do dispositivo para minimizar o risco de exploração. Como solução temporária, limite o uso de injeção de shell para impedir a execução de comandos arbitrários até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Correção
Special Elements Injection
RCE
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Paydroid