برنامه پرداخت موبایلی PayRange در نسخه ۷.۰.۷ خود دارای دو آسیبپذیری بحرانی است.
اولین آسیبپذیری (CVE-2026-13462) باعث پذیرش گواهینامههای SSL نامعتبر در WebView میشود که زنجیره اعتماد اندروید را دور میزند.
دومین آسیبپذیری (CVE-2026-13461) امکان تزریق کد JavaScript را فراهم میکند که میتواند از sandbox فرار کرده و اقدامات مخربی مانند سرقت اطلاعات کاربری انجام دهد.
مهاجم میتواند با رهگیری ترافیک، اتصال TLS جعلی برقرار کرده و دادههای حساس را به سرقت ببرد.
این آسیبپذیریها هنوز توسط سازنده برطرف نشدهاند و کاربران باید منتظر بهروزرسانی باشند.
متن خبر
شرح خبر
برنامه PayRange، یک اپلیکیشن پرداخت موبایلی محبوب برای انجام تراکنشها در دستگاههای خودپرداز، لباسشوییها و سایر تجهیزات بدون نظارت از طریق بلوتوث، با دو آسیبپذیری جدی در نسخه ۷.۰.۷ خود در فروشگاه Google Play مواجه است.
اولین آسیبپذیری (CVE-2026-13462) باعث میشود گواهینامههای SSL نامعتبر در WebViewهای برنامه پذیرفته شوند، که زنجیره اعتماد اندروید را دور میزند.
دومین آسیبپذیری (CVE-2026-13461) امکان تزریق کد JavaScript را فراهم میکند که میتواند از sandbox WebView فرار کرده و اقدامات خطرناکی مانند جمعآوری اطلاعات احراز هویت، ارسال درخواستهای مخرب و خواندن دادههای کاربر از جمله مبادلات با سرورهای PayRange و Stripe را انجام دهد.
مهاجم میتواند با رهگیری ترافیک، اتصال TLS جعلی برقرار کرده و دادههای حساس کاربران را به سرقت ببرد.
این آسیبپذیریها هنوز توسط سازنده برطرف نشدهاند و کاربران باید منتظر بهروزرسانیهای امنیتی باشند.
برنامه پرداخت موبایلی PayRange در نسخه ۷.۰.۷ خود دارای دو آسیبپذیری بحرانی است.
اولین آسیبپذیری (CVE-2026-13462) باعث پذیرش گواهینامههای SSL نامعتبر در WebView میشود که زنجیره اعتماد اندروید را دور میزند.
دومین آسیبپذیری (CVE-2026-13461) امکان تزریق کد JavaScript را فراهم میکند که میتواند از sandbox فرار کرده و اقدامات مخربی مانند سرقت اطلاعات کاربری انجام دهد.
مهاجم میتواند با رهگیری ترافیک، اتصال TLS جعلی برقرار کرده و دادههای حساس را به سرقت ببرد.
این آسیبپذیریها هنوز توسط سازنده برطرف نشدهاند و کاربران باید منتظر بهروزرسانی باشند.
این آسیبپذیریها به دلیل توانایی مهاجم در دور زدن مکانیزمهای امنیتی اندروید و تزریق کد مخرب، خطرات جدی برای کاربران ایجاد میکنند.
مهاجم میتواند با بهرهگیری از این آسیبپذیریها، اطلاعات حساس کاربران از جمله اطلاعات پرداخت و احراز هویت را سرقت کند.
علاوه بر این، اگر کاربر اپراتور دستگاه باشد، کد تزریق شده میتواند دستورات مخربی را با مجوزهای کامل اپراتور اجرا کند که میتواند به سوءاستفاده از سختافزار PayRange منجر شود.
این آسیبپذیریها میتوانند باعث از دست رفتن اعتماد کاربران به برنامه PayRange شوند و خسارات مالی و اعتباری برای شرکت به همراه داشته باشند.
همچنین، در صورت سوءاستفاده از این آسیبپذیریها، شرکت ممکن است با شکایات حقوقی و جریمههای قانونی مواجه شود.
کاربران ایرانی که از این برنامه استفاده میکنند نیز در معرض خطر قرار دارند و ممکن است اطلاعات مالی و شخصی آنها به سرقت برود.
این موضوع میتواند به ویژه برای کسبوکارهایی که از این برنامه برای پرداختها استفاده میکنند، خطرناک باشد.
این آسیبپذیریها میتوانند منجر به نقض قوانین حفاظت از دادهها و حریم خصوصی شوند و شرکتها را در معرض پیگردهای قانونی قرار دهند.
همچنین، عدم رعایت استانداردهای امنیتی میتواند باعث از دست رفتن گواهینامهها و مجوزهای لازم برای فعالیت شرکت شود.
این آسیبپذیریها هیچ ارتباط مستقیم با مسائل ژئوپلیتیکی ندارند، اما میتوانند توسط بازیگران بدخواه در هر کشوری از جمله ایران مورد سوءاستفاده قرار گیرند.
فنی و امنیتی برنامه پرداخت موبایلی PayRange در نسخه ۷.۰.۷ خود دارای دو آسیبپذیری است که میتواند منجر به سرقت اطلاعات کاربری و تزریق کد مخرب شود.
این صفحه خلاصه و تحلیل فارسی خبر را نمایش میدهد. نسخه کامل/اصلی از طریق لینک منبع در دسترس است.
تحلیل تحریریه
ابعاد مهم خبر
چرا مهم است؟
این آسیبپذیریها به دلیل توانایی مهاجم در دور زدن مکانیزمهای امنیتی اندروید و تزریق کد مخرب، خطرات جدی برای کاربران ایجاد میکنند.
مهاجم میتواند با بهرهگیری از این آسیبپذیریها، اطلاعات حساس کاربران از جمله اطلاعات پرداخت و احراز هویت را سرقت کند.
علاوه بر این، اگر کاربر اپراتور دستگاه باشد، کد تزریق شده میتواند دستورات مخربی را با مجوزهای کامل اپراتور اجرا کند که میتواند به سوءاستفاده از سختافزار PayRange منجر شود.
اثر کسبوکاری
این آسیبپذیریها میتوانند باعث از دست رفتن اعتماد کاربران به برنامه PayRange شوند و خسارات مالی و اعتباری برای شرکت به همراه داشته باشند.
همچنین، در صورت سوءاستفاده از این آسیبپذیریها، شرکت ممکن است با شکایات حقوقی و جریمههای قانونی مواجه شود.
اثر احتمالی برای ایران
کاربران ایرانی که از این برنامه استفاده میکنند نیز در معرض خطر قرار دارند و ممکن است اطلاعات مالی و شخصی آنها به سرقت برود.
این موضوع میتواند به ویژه برای کسبوکارهایی که از این برنامه برای پرداختها استفاده میکنند، خطرناک باشد.
ارتباط با LegalTech
این آسیبپذیریها میتوانند منجر به نقض قوانین حفاظت از دادهها و حریم خصوصی شوند و شرکتها را در معرض پیگردهای قانونی قرار دهند.
همچنین، عدم رعایت استانداردهای امنیتی میتواند باعث از دست رفتن گواهینامهها و مجوزهای لازم برای فعالیت شرکت شود.
زاویه رسانه/کشور منبع
فنی و امنیتی
پوشش چند منبعی
این خبر در منابع دیگر
کشف دو آسیبپذیری بحرانی در ابزارهای نویسندگی یادگیری الکترونیکی Xerte Online ToolkitsCERT/CC Vulnerability Notes · US · enمشاهده در سایت
آسیبپذیریهای بحرانی در پلتفرم بدون کد ادالو: افشای دادههای کاربری بیش از یک میلیون برنامهCERT/CC Vulnerability Notes · US · enمشاهده در سایت
کشف در پشتی احراز هویت در فرمور روترهای تندا: دسترسی مدیریتی بدون اعتبارنامه معتبرCERT/CC Vulnerability Notes · US · enمشاهده در سایت