Escalada de privilegios en el software de terminales POS PAX
| ID CVE | CVE-2023-42133 |
| Fecha de publicación | 11 de octubre de 2024 |
| Proveedor | PAZ |
| Producto | Todos los terminales POS PAX basados en Android |
| Versiones vulnerables | Todo debajo 11.1.61_20240226 |
| Tipo de vulnerabilidad (CWE) | Permisos predeterminados incorrectos (CWE-276) |
| Fuente del informe | Informe al CERT Polonia |
Descripción
CERT Polska recibió un informe sobre la vulnerabilidad en los terminales POS (punto de venta) basados en Android PAX y participó en la coordinación de su divulgación.
Un atacante que tenga acceso shell a una cuenta con privilegios del sistema puede explotar CVE-2023-42133 Vulnerabilidad en dispositivos POS basados en Android PAX para escalar privilegios a la cuenta raíz a través de scripts configurados incorrectamente.
Se incluyó un parche que soluciona este problema en la versión de firmware PayDroid_8.1.0_Sagittarius_V11.1.61_20240226.
Créditos
Agradecemos a Hubert Jasudowicz, Adam Kliś y otros miembros del equipo de I+D de STM Cyber por el informe de vulnerabilidad responsable.
Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/es/cvd/.