Podatność w oprogramowaniu terminali PAX POS

cert.pl 3 tygodni temu

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu terminali płatniczych POS (Point Of Sale) firmy PAX i koordynował proces ujawniania informacji.

Atakujący, który posiada dostęp do powłoki oraz uprawnienia konta system, jest w stanie wykorzystać podatność CVE-2023-42133 w celu uzyskania wyższych uprawnień należących do konta root.

Podatne są wszystkie terminale POS firmy PAX bazujące na systemie Android i posiadające oprogramowanie w wersji niższej niż PayDroid_8.1.0_Sagittarius_V11.1.61_20240226.

Podziękowania

Za zgłoszenie podatności dziękujemy Hubertowi Jasudowiczowi, Adamowi Klisiowi oraz pozostałym członkom zespołu STM Cyber R&D.

Idź do oryginalnego materiału