exploitDog

CVE-2023-42136

Опубликовано: 15 янв. 2024

Источник: nvd

CVSS3: 7.8

EPSS Низкий

Описание

PAX Android based POS devices with PayDroid_8.1.0_Sagittarius_V11.1.50_20230614 or earlier can allow the execution of arbitrary commands with system account privilege by shell injection starting with a specific word.

The attacker must have shell access to the device in order to exploit this vulnerability.

Ссылки

https://blog.stmcyber.com/pax-pos-cves-2023/
Exploit
Third Party Advisory
https://cert.pl/en/posts/2024/01/CVE-2023-4818/
Third Party Advisory
https://cert.pl/posts/2024/01/CVE-2023-4818/
Third Party Advisory
https://ppn.paxengine.com/release/development
Permissions Required
https://blog.stmcyber.com/pax-pos-cves-2023/
Exploit
Third Party Advisory
https://cert.pl/en/posts/2024/01/CVE-2023-4818/
Third Party Advisory
https://cert.pl/posts/2024/01/CVE-2023-4818/
Third Party Advisory
https://ppn.paxengine.com/release/development
Permissions Required

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:paxtechnology:paydroid:*:*:*:*:*:*:*:*

Версия до 8.1.0_sagittarius_11.1.50_20230614 (включая)

cpe:2.3:h:paxtechnology:a50:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:paxtechnology:paydroid:*:*:*:*:*:*:*:*

Версия до 8.1.0_sagittarius_11.1.50_20230614 (включая)

cpe:2.3:h:paxtechnology:a6650:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:paxtechnology:paydroid:*:*:*:*:*:*:*:*

Версия до 8.1.0_sagittarius_11.1.50_20230614 (включая)

cpe:2.3:h:paxtechnology:a800:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:o:paxtechnology:paydroid:*:*:*:*:*:*:*:*

Версия до 8.1.0_sagittarius_11.1.50_20230614 (включая)

cpe:2.3:h:paxtechnology:a77:-:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

cpe:2.3:o:paxtechnology:paydroid:*:*:*:*:*:*:*:*

Версия до 8.1.0_sagittarius_11.1.50_20230614 (включая)

cpe:2.3:h:paxtechnology:a920:-:*:*:*:*:*:*:*

Конфигурация 6

Одновременно

cpe:2.3:o:paxtechnology:paydroid:*:*:*:*:*:*:*:*

Версия до 8.1.0_sagittarius_11.1.50_20230614 (включая)

cpe:2.3:h:paxtechnology:a920_pro:-:*:*:*:*:*:*:*

Конфигурация 7

Одновременно

cpe:2.3:o:paxtechnology:paydroid:*:*:*:*:*:*:*:*

Версия до 8.1.0_sagittarius_11.1.50_20230614 (включая)

cpe:2.3:h:paxtechnology:a920_max:-:*:*:*:*:*:*:*

Конфигурация 8

Одновременно

cpe:2.3:o:paxtechnology:paydroid:*:*:*:*:*:*:*:*

Версия до 8.1.0_sagittarius_11.1.50_20230614 (включая)

cpe:2.3:h:paxtechnology:d190:-:*:*:*:*:*:*:*

EPSS

Процентиль: 23%

0.00078

Низкий

7.8 High

CVSS3

Дефекты

CWE-77

CWE-74

Связанные уязвимости

GHSA-qmr4-h7cx-9887

CVSS3: 7.8

github

около 2 лет назад

PAX Android based POS devices with PayDroid_8.1.0_Sagittarius_V11.1.50_20230614 or earlier can allow the execution of arbitrary commands with system account privilege by shell injection starting with a specific word. The attacker must have shell access to the device in order to exploit this vulnerability.

BDU:2024-01108

CVSS3: 8.8

fstec

около 2 лет назад

Уязвимость операционной системы PayDroid, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю выполнять произвольные команды

EPSS

Процентиль: 23%

0.00078

Низкий

7.8 High

CVSS3

Дефекты

CWE-77

CWE-74