exploitDog

CVE-2023-42137

Опубликовано: 15 янв. 2024

Источник: nvd

CVSS3: 7.8

EPSS Низкий

Описание

PAX Android based POS devices with PayDroid_8.1.0_Sagittarius_V11.1.50_20230614 or earlier can allow for command execution with high privileges by using malicious symlinks.

The attacker must have shell access to the device in order to exploit this vulnerability.

Ссылки

https://blog.stmcyber.com/pax-pos-cves-2023/
Exploit
Third Party Advisory
https://cert.pl/en/posts/2024/01/CVE-2023-4818/
Third Party Advisory
https://cert.pl/posts/2024/01/CVE-2023-4818/
Third Party Advisory
https://ppn.paxengine.com/release/development
Permissions Required
https://blog.stmcyber.com/pax-pos-cves-2023/
Exploit
Third Party Advisory
https://cert.pl/en/posts/2024/01/CVE-2023-4818/
Third Party Advisory
https://cert.pl/posts/2024/01/CVE-2023-4818/
Third Party Advisory
https://ppn.paxengine.com/release/development
Permissions Required

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:paxtechnology:paydroid:*:*:*:*:*:*:*:*

Версия до 8.1.0_sagittarius_11.1.50_20230614 (включая)

cpe:2.3:h:paxtechnology:a50:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:paxtechnology:paydroid:*:*:*:*:*:*:*:*

Версия до 8.1.0_sagittarius_11.1.50_20230614 (включая)

cpe:2.3:h:paxtechnology:a6650:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:paxtechnology:paydroid:*:*:*:*:*:*:*:*

Версия до 8.1.0_sagittarius_11.1.50_20230614 (включая)

cpe:2.3:h:paxtechnology:a800:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:o:paxtechnology:paydroid:*:*:*:*:*:*:*:*

Версия до 8.1.0_sagittarius_11.1.50_20230614 (включая)

cpe:2.3:h:paxtechnology:a77:-:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

cpe:2.3:o:paxtechnology:paydroid:*:*:*:*:*:*:*:*

Версия до 8.1.0_sagittarius_11.1.50_20230614 (включая)

cpe:2.3:h:paxtechnology:a920:-:*:*:*:*:*:*:*

Конфигурация 6

Одновременно

cpe:2.3:o:paxtechnology:paydroid:*:*:*:*:*:*:*:*

Версия до 8.1.0_sagittarius_11.1.50_20230614 (включая)

cpe:2.3:h:paxtechnology:a920_pro:-:*:*:*:*:*:*:*

Конфигурация 7

Одновременно

cpe:2.3:o:paxtechnology:paydroid:*:*:*:*:*:*:*:*

Версия до 8.1.0_sagittarius_11.1.50_20230614 (включая)

cpe:2.3:h:paxtechnology:a920_max:-:*:*:*:*:*:*:*

Конфигурация 8

Одновременно

cpe:2.3:o:paxtechnology:paydroid:*:*:*:*:*:*:*:*

Версия до 8.1.0_sagittarius_11.1.50_20230614 (включая)

cpe:2.3:h:paxtechnology:d190:-:*:*:*:*:*:*:*

EPSS

Процентиль: 35%

0.00147

Низкий

7.8 High

CVSS3

Дефекты

CWE-59

CWE-59

Связанные уязвимости

GHSA-w8g8-vhwr-gr27

CVSS3: 7.8

github

около 2 лет назад

PAX Android based POS devices with PayDroid_8.1.0_Sagittarius_V11.1.50_20230614 or earlier can allow for command execution with high privileges by using malicious symlinks. The attacker must have shell access to the device in order to exploit this vulnerability.

BDU:2024-01111

CVSS3: 7.8

fstec

около 2 лет назад

Уязвимость операционной системы PayDroid, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю выполнять произвольные команды

EPSS

Процентиль: 35%

0.00147

Низкий

7.8 High

CVSS3

Дефекты

CWE-59

CWE-59