VU#152953: Приложение PayRange... Заметка

VU#152953: Приложение PayRange для Android версии 7.0.7 содержит несколько уязвимостей

PayRange — это мобильное платежное приложение, предназначенное для использования с торговыми автоматами и прачечными самообслуживания. Оно позволяет пользователям совершать платежи с помощью своих смартфонов через Bluetooth. В версии 7.0.7 приложения PayRange для Android была обнаружена критическая уязвимость. Эта уязвимость обусловлена двумя отдельными недостатками безопасности. Первая уязвимость (CVE-2026-13462) касается обработки приложением SSL-сертификатов в его WebViews. В частности, приложение PayRange некорректно принимает недействительные SSL-сертификаты. Вторая уязвимость (CVE-2026-13461) допускает внедрение JavaScript. Это внедрение может привести к выходу из песочницы WebView, что позволит выполнять вредоносные действия на устройстве пользователя. Злоумышленники могут использовать эти уязвимости посредством перехвата на пути следования трафика. Они могут перенаправлять трафик пользователя на свое собственное контролируемое устройство. Предъявив доверенный сертификат, соответствующий определенным правилам, они могут инициировать TLS-соединение. Это позволяет им внедрять контент, собирать учетные данные и выполнять несанкционированные запросы. Для операторов машин это может распространяться на выдачу команд оборудованию PayRange с полными правами оператора. К сожалению, связаться с поставщиком для координации исправления не удалось. Пользователям рекомендуется применять любые доступные обновления программного обеспечения от своих поставщиков оборудования или программного обеспечения.