Описание
Уязвимость сервисов MasterCard Tokenisation Service (MDES), Visa Tokenisation Service (VTS) связана с произвольной модификацией поля Amount в пакете Authorisation Request ISO 8583. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию
Вендор
Visa Inc.
MasterCard Inc.
Наименование ПО
Visa Tokenisation Service (VTS)
MasterCard Tokenisation Service (MDES)
Версия ПО
- (Visa Tokenisation Service (VTS))
- (MasterCard Tokenisation Service (MDES))
Тип ПО
Микропрограммный код
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,9)
Возможные меры по устранению уязвимости
Не одобрять транзакции, у которых cardholder verification не указан как успешный, и у которых тип MCC не соответствует группе «транспорт».
Альтернативный способ защиты – использовать поле MCC в алгоритме генерации транзакционной криптограммы ARQC
Статус уязвимости
Подтверждена в ходе исследований
Наличие эксплойта
Существует
Информация об устранении
Информация об устранении отсутствует
4.9 Medium
CVSS3
6.8 Medium
CVSS2
4.9 Medium
CVSS3
6.8 Medium
CVSS2