PT-2024-1566 · Pax · Paydroid
Adam Klis
+1
·
Publicado
2024-01-15
·
Atualizado
2024-10-10
·
CVE-2023-42137
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Dispositivos POS PAX baseados em Android com versões do PayDroid 8.1.0 Sagittarius V11.1.50 20230614 ou anteriores
Descrição
A vulnerabilidade se deve à validação insuficiente de entradas no sistema operacional PayDroid, permitindo que um invasor execute comandos arbitrários com privilégios elevados por meio de links simbólicos maliciosos. O invasor precisa ter acesso ao shell do dispositivo para explorar essa vulnerabilidade.
Recomendações
Para dispositivos POS PAX baseados em Android com versões do PayDroid 8.1.0 Sagittarius V11.1.50 20230614 ou anteriores, considere restringir o acesso ao shell do dispositivo para minimizar o risco de exploração. Como solução temporária, considere desativar o uso de links simbólicos até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Correção
Link Following
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Paydroid