Katalog CVE

CVE-2025-57197

ŚrednieCVSS 6.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 5 - wyżej niż 5% wszystkich znanych CVE

Streszczenie

W aplikacji Payeer na Androida w wersji 2.5.0 wykryto podatność polegającą na nieprawidłowej kontroli dostępu w procesie zmiany kodu PIN. Lokalny atakujący z dostępem root do urządzenia może dynamicznie manipulować aplikacją, aby ominąć weryfikację bieżącego PIN-u i bezpośrednio zmienić kod PIN. Umożliwia to nieautoryzowanym użytkownikom zmianę PIN-u bez znajomości oryginalnego/aktualnego kodu.

Ocena ryzyka

Ryzyko polega na tym, że osoba z fizycznym dostępem do urządzenia i uprawnieniami root może przejąć kontrolę nad kontem Payeer, zmieniając PIN uwierzytelniający, co może prowadzić do kradzieży środków lub nieautoryzowanych transakcji.

Rekomendacja

Zaleca się natychmiastową aktualizację aplikacji Payeer do najnowszej wersji, która usuwa tę podatność. Do czasu aktualizacji należy unikać przechowywania aplikacji na zrootowanych urządzeniach i stosować dodatkowe zabezpieczenia, takie jak uwierzytelnianie wieloskładnikowe.

Oryginalny opis (angielski, źródło NVD)

In the Payeer Android application 2.5.0, an improper access control vulnerability exists in the authentication flow for the PIN change feature. A local attacker with root access to the device can dynamically instrument the app to bypass the current PIN verification check and directly modify the authentication PIN. This allows unauthorized users to change PIN without knowing the original/current PIN.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS