PT-2024-1565 · Pax · Paydroid
Adam Klis
+1
·
Publicado
2024-01-15
·
Atualizado
2024-01-30
·
CVE-2023-42134
CVSS v2.0
7.2
Alta
| Vetor | AV:L/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Dispositivos POS PAX baseados em Android com versões do PayDroid 8.1.0 Sagittarius V11.1.45 20230314 ou anteriores
Descrição
A vulnerabilidade está relacionada à presença de comandos de configuração não documentados no sistema operacional PayDroid. A exploração dessa vulnerabilidade pode permitir que um invasor execute código arbitrário. O invasor deve ter acesso físico via USB ao dispositivo para explorar essa vulnerabilidade. Isso pode levar à sobrescrita da partição assinada e à subsequente execução de código local por meio de um comando oculto.
Recomendações
Para dispositivos POS PAX baseados em Android com versões do PayDroid 8.1.0 Sagittarius V11.1.45 20230314 ou anteriores, considere restringir o acesso físico via USB ao dispositivo para minimizar o risco de exploração. Como solução temporária, considere desativar qualquer funcionalidade que possa estar relacionada aos comandos de configuração não documentados até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.
Exploit
Correção
Hidden Functionality
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Paydroid