CVE-2025-56467
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 - wyżej niż 22% wszystkich znanych CVE
Streszczenie
W aplikacji mobilnej Axis Bank (wersja 9.9) odkryto podatność umożliwiającą atakującym dostęp do wrażliwych danych, takich jak informacje o koncie, salda, historia transakcji oraz inne nieokreślone dane, bez konieczności podawania kodu PIN UPI. Producent twierdzi, że jest to zamierzona funkcjonalność i nie ujawnia ona zbyt wielu wrażliwych informacji.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego dostępu do danych finansowych użytkowników, co może prowadzić do naruszenia prywatności, kradzieży tożsamości lub wykorzystania informacji do dalszych ataków socjotechnicznych.
Rekomendacja
Zaleca się natychmiastową aktualizację aplikacji mobilnej Axis Bank do najnowszej wersji oraz wdrożenie mechanizmów uwierzytelniania (np. PIN UPI) dla dostępu do wrażliwych danych. Użytkownicy powinni również monitorować swoje konta pod kątem podejrzanych aktywności.
Oryginalny opis (angielski, źródło NVD)
An issue was discovered in AXIS BANK LIMITED Axis Mobile App 9.9 that allows attackers to obtain sensitive information without a UPI PIN, such as account information, balances, transaction history, and unspecified other information. NOTE: the Supplier's perspective is that this is an intended feature and "does not reveal much sensitive information."

