| CVE ID | CVE-2023-42133 |
| Data publikacji | 11 października 2024 |
| Producent podatnego oprogramowania | PAX |
| Nazwa podatnego oprogramowania | Wszystkie terminale firmy PAX oparte o system Android |
| Podatne wersje | Wszystkie poniżej 11.1.61_20240226 |
| Typ podatności (CWE) | Incorrect Default Permissions (CWE-276) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu terminali płatniczych POS (Point Of Sale) firmy PAX i koordynował proces ujawniania informacji.
Atakujący, który posiada dostęp do powłoki oraz uprawnienia konta system, jest w stanie wykorzystać podatność CVE-2023-42133 w celu uzyskania wyższych uprawnień należących do konta root.
Podatne są wszystkie terminale POS firmy PAX bazujące na systemie Android i posiadające oprogramowanie w wersji niższej niż PayDroid_8.1.0_Sagittarius_V11.1.61_20240226.
Podziękowania
Za zgłoszenie podatności dziękujemy Hubertowi Jasudowiczowi, Adamowi Klisiowi oraz pozostałym członkom zespołu STM Cyber R&D.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.