VU#152953: PayRange Android アプ... ノート

VU#152953: PayRange Android アプリ バージョン 7.0.7 には複数の脆弱性が含まれています

PayRangeは、自動販売機やコインランドリーなどの無人機械での使用を目的としたモバイル決済アプリケーションです。ユーザーはスマートフォンを介してBluetoothで支払いを行うことができます。PayRange Androidアプリケーションのバージョン7.0.7で重大な脆弱性が特定されました。この脆弱性は、2つの異なるセキュリティ上の欠陥に起因します。最初の欠陥(CVE-2026-13462)は、WebView内でのSSL証明書のアプリの処理に関するものです。具体的には、PayRangeアプリは無効なSSL証明書を誤って受け入れます。2番目の脆弱性(CVE-2026-13461)は、JavaScriptインジェクションを許可します。このインジェクションはWebViewサンドボックスからの脱出につながり、ユーザーのデバイスで悪意のある操作を実行できるようになります。攻撃者は、オンパスインターセプションを通じてこれらの脆弱性を悪用できます。ユーザーのトラフィックを自身が制御するデバイスにリダイレクトできます。特定のルールに一致する信頼できる証明書を提示することで、TLS接続を開始できます。これにより、コンテンツのインジェクション、認証情報の収集、および不正なリクエストの実行が可能になります。機械オペレーターにとっては、完全なオペレーター権限でPayRangeハードウェアにコマンドを発行することまで可能になります。残念ながら、修正を調整するためにベンダーに連絡することはできませんでした。ユーザーは、ハードウェアまたはソフトウェアプロバイダーから利用可能なソフトウェアアップデートを適用することを推奨します。