VU#152953:PayRange Android 应用版... 笔记

VU#152953:PayRange Android 应用版本 7.0.7 存在多个漏洞

PayRange 是一款专为无人值守设备(如自动售货机和洗衣店)设计的移动支付应用。用户可通过蓝牙使用智能手机进行支付。在 PayRange Android 应用 7.0.7 版本中发现了一个关键漏洞。该漏洞源于两个独立的安全缺陷。第一个缺陷(CVE-2026-13462)涉及应用在其 WebViews 中对 SSL 证书的处理方式。具体而言,PayRange 应用错误地接受了无效的 SSL 证书。第二个漏洞(CVE-2026-13461)允许 JavaScript 注入。此类注入可导致跳出 WebView 沙箱,从而在用户设备上执行恶意操作。攻击者可通过旁路拦截利用这些漏洞,将用户流量重定向至其控制的设备。通过提供符合特定规则的受信任证书,攻击者可建立 TLS 连接,进而注入内容、窃取凭证并执行未经授权的请求。对于设备运营商而言,这可能扩展为向 PayRange 硬件发送具有完整操作权限的命令。遗憾的是,无法联系到供应商以协调修复。建议用户从其硬件或软件提供商处应用任何可用的软件更新。