Qahramon Choriyev

**Nome do Software Vulnerável e Versões Afetadas** Nefteprodukttekhnika BUK TS-G Gas Station Automation System versões 2.9.1 a 2.10.2 **Description** Um problema de autenticação inadequada existe no módulo de configuração do sistema. O endpoint '/php/ajax-login.php' retorna `userid=1` (administrador) ao receber qualquer requisição HTTP POST com credenciais arbitrárias através dos parâmetros `login` e `pwd`. Além disso, endpoints privilegiados sob '/php/ajax-main.php' e '/modules/*' não validam sessões no lado do servidor. Isso permite que um invasor remoto não autenticado execute ações administrativas, como ler e modificar regras de usuário, medidores de tanques de combustível, dispensadores de combustível, relés, caixas registradoras, terminais bancários, cartões de combustível, displays de preços e clientes, coleta de dinheiro e regras de precificação. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.