Ncr · Ncr Command Center Agent · CVE-2021-3122
**Nome do software vulnerável e versões afetadas**
NCR Command Center Agent versão 16.3
**Descrição**
O componente CMCAgent do NCR Command Center Agent versão 16.3, utilizado nos servidores Aloha POS/BOH, permite o envio de um parâmetro `runCommand` dentro de um documento XML enviado para a porta 8089. Isso permite a execução remota e não autenticada de comandos arbitrários como SYSTEM. Essa vulnerabilidade foi explorada em ataques reais durante 2020 e 2021 e foi associada a incidentes de roubo de dados de cartões de crédito. O fornecedor afirma que a exploração requer uma “configuração incorreta” específica. O componente vulnerável aceita comandos por meio do endpoint da API ‘’/'' na porta 8089. O parâmetro `runCommand` é enviado dentro de um documento XML.
**Recomendações**
Versões anteriores à 16.3 estão potencialmente afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.