CVE ID | CVE-2023-4818 |
Data publikacji | 15 stycznia 2024 |
Producent podatnego oprogramowania | PAX Technology |
Nazwa podatnego oprogramowania | A920 |
Podatne wersje | Wszystkie do A920_AP_Boot_Release_V5.14 włącznie |
Typ podatności (CWE) | Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') (CWE-74) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
CVE ID | CVE-2023-42134 |
Data publikacji | 15 stycznia 2024 |
Producent podatnego oprogramowania | PAX Technology |
Nazwa podatnego oprogramowania | Wszystkie terminale firmy PAX oparte o system Android |
Podatne wersje | Wszystkie do 11.1.45_20230314 włącznie |
Typ podatności (CWE) | Hidden Functionality (CWE-912) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
CVE ID | CVE-2023-42135 |
Data publikacji | 15 stycznia 2024 |
Producent podatnego oprogramowania | PAX Technology |
Nazwa podatnego oprogramowania | A920 Pro oraz A50 |
Podatne wersje | Wszystkie do 11.1.50_20230614 włącznie |
Typ podatności (CWE) | Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') (CWE-74) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
CVE ID | CVE-2023-42136 |
Data publikacji | 15 stycznia 2024 |
Producent podatnego oprogramowania | PAX Technology |
Nazwa podatnego oprogramowania | Wszystkie terminale oparte o system Android |
Podatne wersje | Wszystkie do 11.1.50_20230614 włącznie |
Typ podatności (CWE) | Improper Neutralization of Special Elements used in a Command ('Command Injection') (CWE-77) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
CVE ID | CVE-2023-42137 |
Data publikacji | 15 stycznia 2024 |
Producent podatnego oprogramowania | PAX Technology |
Nazwa podatnego oprogramowania | Wszystkie terminale oparte o system Android |
Podatne wersje | Wszystkie do 11.1.50_20230614 włącznie |
Typ podatności (CWE) | Improper Link Resolution Before File Access ('Link Following') (CWE-59) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu różnych modeli terminali płatniczych POS (Point Of Sale) firmy PAX i koordynował proces ujawniania informacji. Wszystkie podatności zostały potwierdzone przez producenta oraz otrzymały adresujące je poprawki bezpieczeństwa. Szczegóły techniczne zostały opisane na stronie znalazców błędów.
- Błędne sprawdzanie wersji opisane w podatności CVE-2023-4818 w urządzeniu PAX A920 pozwala na wgranie starszej wersji bootloadera pod warunkiem, że jest on poprawnie podpisany przez firmę PAX. Do przeprowadzenia ataku wymagany jest dostęp do portu USB urządzenia.
- Podatność CVE-2023-42134 we wszystkich urządzeniach POS opartych o system Android z oprogramowaniem w wersji PayDroid_8.1.0_Sagittarius_V11.1.45_20230314 lub niższej pozwala skorzystać w nieudokumentowanej komendy aby nadpisać podpisaną partycję, w konsekwencji czego możliwe jest lokalne wykonanie kodu. Do przeprowadzenia ataku wymagany jest dostęp do portu USB urządzenia.
- Podatność CVE-2023-42135 w urządzeniach PAX A920Pro oraz A50 z oprogramowaniem PayDroid_8.1.0_Sagittarius_V11.1.50_20230614 opisuje ominięcie walidacji wprowadzanych do urządzenia danych podczas flashowania jednej z partycji, dzięki czemu możliwe jest wstrzyknięcie dodatkowego parametru i lokalne wykonanie kodu. Do przeprowadzenia ataku wymagany jest dostęp do portu USB urządzenia.
- Podatność CVE-2023-42136 we wszystkich urządzeniach POS opartych o system Android z oprogramowaniem w wersji PayDroid_8.1.0_Sagittarius_V11.1.50_20230614 lub niższej pozwala na lokalne wykonanie komend z przywilejami konta systemowego poprzez wstrzyknięcie spreparowanego polecenia powłoki. Do przeprowadzenia ataku wymagany jest dostęp do powłoki urządzenia.
- Podatność CVE-2023-42137 we wszystkich urządzeniach POS opartych o system Android z oprogramowaniem w wersji PayDroid_8.1.0_Sagittarius_V11.1.50_20230614 lub niższej pozwala na wykonanie komend z wysokimi uprawnieniami poprzez użycie spreparowanych dowiązań symbolicznych. Do przeprowadzenia ataku wymagany jest dostęp do powłoki urządzenia.
Podziękowania
Za zgłoszenie podatności dziękujemy Hubertowi Jasudowiczowi, Adamowi Klisiowi oraz pozostałym członkom zespołu STM Cyber R&D.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.