关键信息总结 漏洞概述 CVE编号: CVE-2025-46018 漏洞类型: 支付认证绕过漏洞 受影响产品: CSC Pay Mobile App 版本: 2.19.4 (在版本2.20.0中修复) 组件: 蓝牙支付认证模块 厂商: CSC ServiceWorks 漏洞类型 CWE编号: CWE-284: 不当访问控制 CVSS评分: 中等严重性 利用类型: 本地 - 需要接近机器 攻击向量(高级) 1. 攻击者通过移动应用发起支付并扫描洗衣机上的二维码。 2. 在应用完成蓝牙认证和收费之前,故意禁用蓝牙。 3. 尽管没有完成交易,机器仍开始运行。 影响 未经授权使用机器而无需支付 潜在的收入损失 公共/共享环境中的滥用 时间线 致谢 发现者: Niranjan Gaire 荣誉: CSC ServiceWorks安全名人堂, MITRE CVE记录 - CVE-2025-46018 免责声明 此存储库仅用于文档和负责任披露目的。不会公开分享任何利用代码或再现步骤。