Andriel C. S. Biagioni

**Nome do software vulnerável e versões afetadas: Pax Technology PAXSTORE versões 7.0.8 20200511171508 e anteriores Descrição: O problema está relacionado a um controle de acesso incorreto, o que pode levar à escalada remota de privilégios. Especificamente, os endpoints do marketplace PAXSTORE permitem que um usuário autenticado leia e grave dados que não lhe pertencem, incluindo dados de usuários terceiros, aplicativos e terminais de pagamento. Isso pode permitir que um invasor se faça passar por qualquer usuário, resultando potencialmente na divulgação, modificação ou destruição não autorizada de informações. Recomendações: Para as versões 7.0.8 20200511171508 e anteriores, considere restringir o acesso aos endpoints do marketplace PAXSTORE para impedir a modificação não autorizada de dados até que uma correção esteja disponível. Como solução alternativa temporária, limite os privilégios dos usuários autenticados para permitir que eles acessem e modifiquem apenas seus próprios dados.

**Nome do software vulnerável e versões afetadas: Pax Technology PAXSTORE versões 7.0.8 20200511171508 e anteriores Descrição: A vulnerabilidade permite que usuários não administradores acessem o certificado p12 de substituição e sua senha, que é retornada em base64. Isso ocorre por meio da funcionalidade de assinatura PUK, na qual um administrador não pode visualizar a senha atual do certificado, mas pode substituí-la. O certificado de substituição e sua senha ficam acessíveis a usuários não administradores. Recomendações: Para as versões 7.0.8 20200511171508 e anteriores, considere restringir o acesso à funcionalidade de assinatura PUK para impedir que usuários não administradores acessem o certificado p12 de substituição e sua senha. Como solução alternativa temporária, limite o uso da opção de substituição de certificado até que uma correção esteja disponível.