关键漏洞信息 漏洞概述 发现者: hcd 报告日期: 2025年4月 CVE状态: CVE请求中 (CVE Requested) CVE编号: CVE-2025-5154 (待确认) 漏洞详情 受影响的包: com.phonepe.app 测试版本: 25.03.21.0 数据路径: - —— - —— 存储在明文中的数据 访问令牌和刷新令牌 ( , ) 用户全名、电子邮件、电话号码 Aadhaar(最后4位数字)、PAN 银行账户号码、IFSC、UPI 验证标志 (KYC通过) 威胁模型 攻击者条件: - 根权限 - 本地恶意软件 / 权限提升 - 物理访问(临时) 攻击方式: - 静默提取数据并调用生产端点,如: - 影响 账户接管通过令牌重放 通过Aadhaar/PAN数据进行身份盗用 使用已验证的电话号码进行社会工程学攻击 违反DPDP(印度)、GDPR(欧盟)、PCI-DSS等法规 披露时间线 发现日期: 2025年4月 报告日期: 2025年4月22日 CVE请求日期: 2025年5月2日 公开发布日期: 2025年5月13日 CVE公布日期: 待定 研究员信息 研究员: Soyam Arya (hcd) LinkedIn: https://www.linkedin.com/in/soyam-arya-a90356312/ 联系邮箱: soyamarya@ethical@gmail.com 其他信息 VulnDB提交: #576245 已接受 (CVE-2025-5154) CVE详细信息: https://vuldb.com/?id.310242