PT-2024-1567 · Pax · Paydroid
Adam Klis
+1
·
Publicado
2024-01-15
·
Atualizado
2024-10-10
·
CVE-2023-42135
CVSS v2.0
7.2
Alta
| Vetor | AV:L/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Dispositivos PAX A920Pro/A50 com versões do PayDroid 8.1.0 Sagittarius V11.1.50 20230614 ou anteriores
Descrição
A vulnerabilidade existe devido à validação insuficiente de entradas no sistema operacional PayDroid, permitindo que um invasor execute código arbitrário por meio de injeção de parâmetros, contornando a validação de entradas ao atualizar uma partição específica. O invasor deve ter acesso físico via USB ao dispositivo para explorar essa vulnerabilidade.
Recomendações
Para dispositivos PAX A920Pro/A50 com versões do PayDroid 8.1.0 Sagittarius V11.1.50 20230614 ou anteriores, considere restringir o acesso físico via USB ao dispositivo para minimizar o risco de exploração. Como solução temporária, evite atualizar partições específicas até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Correção
Special Elements Injection
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Paydroid