一、 漏洞 CVE-2023-42135 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
PAX A920Pro/A50设备具有PayDroid_8.1.0_Sagittarius_V11.1.50_20230614或更早版本,可以通过闪存特定分区时绕过输入验证,来允许本地代码执行。 攻击者必须物理访问设备的USB才能利用此漏洞。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
PAX A920Pro/A50 devices with PayDroid_8.1.0_Sagittarius_V11.1.50_20230614 or earlier can allow local code execution via parameter injection by bypassing the input validation when flashing a specific partition.
The attacker must have physical USB access to the device in order to exploit this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
输出中的特殊元素转义处理不恰当(注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
PAX Technology A920 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
PAX Technology A920是中国百富环球(PAX Technology)公司的一款 Android 移动支付终端。 PAX Technology A920 PayDroid_8.1.0_Sagittarius_V11.1.45_20230314 及之前版本存在安全漏洞,该漏洞源于可以在刷新特定分区时绕过输入验证,攻击者利用该漏洞可以通过 fastboot 中的 kernel参数注入,以 root 身份执行本地代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-42135 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2023-42135 的情报信息
- https://ppn.paxengine.com/release/development vendor-advisory
-
标题: Android-based PAX POS vulnerabilities (Part 1) - STM Cyber Blog -- 🔗来源链接
标签: technical-description
- https://cert.pl/en/posts/2024/01/CVE-2023-4818/ third-party-advisory
- https://cert.pl/posts/2024/01/CVE-2023-4818/ third-party-advisory
- https://nvd.nist.gov/vuln/detail/CVE-2023-42135