CVE-2025-57197
ŚrednieCVSS 6.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 - wyżej niż 5% wszystkich znanych CVE
Streszczenie
W aplikacji Payeer na Androida w wersji 2.5.0 wykryto podatność polegającą na nieprawidłowej kontroli dostępu w procesie zmiany kodu PIN. Lokalny atakujący z dostępem root do urządzenia może dynamicznie manipulować aplikacją, aby ominąć weryfikację bieżącego PIN-u i bezpośrednio zmienić kod PIN. Umożliwia to nieautoryzowanym użytkownikom zmianę PIN-u bez znajomości oryginalnego/aktualnego kodu.
Ocena ryzyka
Ryzyko polega na tym, że osoba z fizycznym dostępem do urządzenia i uprawnieniami root może przejąć kontrolę nad kontem Payeer, zmieniając PIN uwierzytelniający, co może prowadzić do kradzieży środków lub nieautoryzowanych transakcji.
Rekomendacja
Zaleca się natychmiastową aktualizację aplikacji Payeer do najnowszej wersji, która usuwa tę podatność. Do czasu aktualizacji należy unikać przechowywania aplikacji na zrootowanych urządzeniach i stosować dodatkowe zabezpieczenia, takie jak uwierzytelnianie wieloskładnikowe.
Oryginalny opis (angielski, źródło NVD)
In the Payeer Android application 2.5.0, an improper access control vulnerability exists in the authentication flow for the PIN change feature. A local attacker with root access to the device can dynamically instrument the app to bypass the current PIN verification check and directly modify the authentication PIN. This allows unauthorized users to change PIN without knowing the original/current PIN.

