PAX支付终端存在安全漏洞

关键要点

PAX公司的安卓支付终端存在六个严重的安全漏洞。半数漏洞包括CVE20234818，可导致引导加载程序降级。CVE202342134和CVE202342135漏洞允许物理USB访问。CVE202342136和CVE202342137漏洞可能被攻击者用于任意命令和文件覆盖。

根据SecurityWeek的报道， PAX Technology 的安卓支付终端存在六个安全漏洞。这些漏洞虽然已经被这家中国企业修复，但仍可能被攻击者利用以达到进一步的危害。根据STM Cyber的报告，这些漏洞的发现者，威胁行为者可以利用其中一半的漏洞，包括CVE20234818，允许引导加载程序降级，以及跟踪编号为CVE202342134和CVE202342135的内核参数注入漏洞，来进行针对设备的物理USB访问。

此外，另外两个漏洞也可能被攻击者利用，以实现任意命令执行。第一个漏洞，CVE202342136，可能被用于Shell命令注入，能够绕过安全检查并获取系统权限。而第二个漏洞，CVE202342137，可能被利用进行任意文件覆盖和权限提升。关于第六个漏洞，研究人员没有提供更多细节，而他们在五月份报告了这些漏洞。

漏洞概述

漏洞编号影响描述CVE20234818引导加载程序允许降级攻击CVE202342134内核参数允许物理USB访问CVE202342135内核参数允许物理USB访问CVE202342136Shell命令注入绕过安全检查，获取系统权限CVE202342137任意文件覆盖权限提升其他漏洞未披露记录于研究人员的报告中

这些漏洞凸显了在支付终端安全方面的潜在威胁，企业应当加强对设备的安全监控，并尽快应用可用的补丁。

梯子vpn