Vladimir Kononovich

**Nome do software vulnerável e versões afetadas: Terminais POS Ingenico Telium 2 em versões anteriores ao Telium 2 SDK v9.32.03 patch N Descrição: O problema diz respeito a um protocolo NTPT3 inseguro nos terminais POS Ingenico Telium 2. Recomendações: Para versões anteriores ao Telium 2 SDK v9.32.03 patch N, atualize para o Telium 2 SDK v9.32.03 patch N para resolver o problema.

**Nome do software vulnerável e versões afetadas: Terminais POS Ingenico Telium 2 com versões anteriores ao Telium 2 SDK v9.32.03 patch N Descrição: O problema consiste em um estouro de buffer por meio do comando 0x26 do protocolo NTPT3. Esse protocolo é utilizado nos terminais POS Ingenico Telium 2. O estouro de buffer pode ser explorado, mas não são fornecidos detalhes sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. Recomendações: Para versões anteriores ao Telium 2 SDK v9.32.03 patch N, atualize para o Telium 2 SDK v9.32.03 patch N para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao comando 0x26 do protocolo NTPT3 até que o patch seja aplicado.

**Nome do software vulnerável e versões afetadas: Terminais POS Ingenico Telium 2 em versões anteriores ao Telium 2 SDK v9.32.03 patch N Descrição: O problema consiste em um estouro de buffer que ocorre por meio do comando `RemotePutFile` do protocolo NTPT3. Esse estouro de buffer foi corrigido no Telium 2 SDK v9.32.03 patch N. Recomendações: Para terminais POS Ingenico Telium 2 em versões anteriores ao Telium 2 SDK v9.32.03 patch N, atualize para o Telium 2 SDK v9.32.03 patch N para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao comando `RemotePutFile` do protocolo NTPT3 até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas: Terminais POS Ingenico Telium 2 em versões anteriores ao Telium 2 SDK v9.32.03 patch N Descrição: O problema diz respeito a credenciais FTP codificadas nos terminais POS Ingenico Telium 2. Isso permite o acesso não autorizado. O problema foi corrigido no Telium 2 SDK v9.32.03 patch N. Recomendações: Para versões anteriores ao Telium 2 SDK v9.32.03 patch N, atualize para o Telium 2 SDK v9.32.03 patch N para resolver o problema. Como solução temporária, considere restringir o acesso às credenciais FTP até que o patch seja aplicado.

**Nome do software vulnerável e versões afetadas: Terminais POS Ingenico Telium 2 em versões anteriores ao Telium 2 SDK v9.32.03 patch N Descrição: A vulnerabilidade permite a execução de código arbitrário por meio do protocolo TRACE. Recomendações: Para versões anteriores ao Telium 2 SDK v9.32.03 patch N, atualize para o Telium 2 SDK v9.32.03 patch N para resolver o problema.

**Nome do software vulnerável e versões afetadas: Terminais POS Ingenico Telium 2 em versões anteriores ao Telium 2 SDK v9.32.03 patch N Descrição: O problema é um estouro de buffer via SOCKET TASK no protocolo NTPT3. Esse estouro de buffer pode ser explorado, mas não são fornecidos detalhes sobre incidentes reais ou o número estimado de dispositivos potencialmente afetados. O estouro de buffer ocorre no protocolo NTPT3, que é utilizado pelos terminais POS Ingenico Telium 2. Recomendações: Para versões anteriores ao Telium 2 SDK v9.32.03 patch N, atualize para o Telium 2 SDK v9.32.03 patch N para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao SOCKET TASK no protocolo NTPT3 até que o patch seja aplicado.

**Nome do software vulnerável e versões afetadas: Terminais POS Ingenico Telium 2 em versões anteriores ao Telium 2 SDK v9.32.03 patch N Descrição: O problema diz respeito a comandos do protocolo TRACE não declarados nos terminais POS Ingenico Telium 2. Este problema foi resolvido no Telium 2 SDK v9.32.03 patch N. Recomendações: Para versões anteriores ao Telium 2 SDK v9.32.03 patch N, atualize para o Telium 2 SDK v9.32.03 patch N para resolver o problema.

**Nome do software vulnerável e versões afetadas: Ingenico Telium 2 POS, versões do Telium2 OS anteriores ao Telium 2 SDK v9.32.03 patch N Descrição: A vulnerabilidade permite contornar as restrições de leitura de arquivos por meio do protocolo NTPT3. Recomendações: Para versões anteriores ao Telium 2 SDK v9.32.03 patch N, atualize para o Telium 2 SDK v9.32.03 patch N para resolver o problema.

**Nome do software vulnerável e versões afetadas: Terminais POS Ingenico Telium 2 em versões anteriores ao Telium 2 SDK v9.32.03 patch N Descrição: O problema diz respeito a credenciais PPP codificadas de forma rígida nos terminais POS Ingenico Telium 2. Isso permite o acesso não autorizado. O problema foi resolvido no Telium 2 SDK v9.32.03 patch N. Recomendações: Para versões anteriores ao Telium 2 SDK v9.32.03 patch N, atualize para o Telium 2 SDK v9.32.03 patch N para corrigir o problema das credenciais PPP codificadas.

**Nome do software vulnerável e versões afetadas: Terminais POS Ingenico Telium 2 em versões anteriores ao Telium 2 SDK v9.32.03 patch N Descrição: O problema diz respeito a um protocolo TRACE inseguro nos terminais POS Ingenico Telium 2. Esse problema foi resolvido no Telium 2 SDK v9.32.03 patch N. Recomendações: Para versões anteriores ao Telium 2 SDK v9.32.03 patch N, atualize para o Telium 2 SDK v9.32.03 patch N para resolver o problema. Como solução alternativa temporária, considere desativar o protocolo TRACE até que o patch seja aplicado.

**Name of the Vulnerable Software and Affected Versions** EVLink Parking versions 3.2.0-12 v1 and earlier **Description** A Hard-coded Credentials issue exists, which could enable an attacker to gain access to the device. The vulnerability is related to the use of pre-installed credentials, allowing a remote attacker to exploit it and obtain device access. **Recommendations** For EVLink Parking versions 3.2.0-12 v1 and earlier, consider changing the hard-coded credentials to unique, strong passwords as a temporary workaround. Restrict access to the device to minimize the risk of exploitation until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** EVLink Parking versions 3.2.0-12 v1 and earlier **Description** The issue is related to a code injection possibility, which could allow a remote attacker to gain access with maximum privileges. **Recommendations** For EVLink Parking versions 3.2.0-12 v1 and earlier, at the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** EVLink Parking versions 3.2.0-12 v1 and earlier **Description** A SQL Injection issue exists, which could allow a remote attacker to gain access to the web interface with full privileges. The vulnerability is related to a lack of protection measures for the SQL query structure, enabling potential exploitation. **Recommendations** For EVLink Parking versions 3.2.0-12 v1 and earlier, consider restricting access to the web interface as a temporary mitigation measure until a patch is available. Avoid using potentially vulnerable SQL queries in the affected interface until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Name of the Vulnerable Software and Affected Versions: NCR S2 Dispenser controller versions prior to 0x0108 NCR S1 Dispenser controller (affected versions not specified) Description: The issue is related to the memory write mechanism in the dispenser controller, which lacks sufficient protection. This allows an unauthenticated user to upgrade or downgrade the firmware of the device, including to older versions with known vulnerabilities. The exploitation of this issue may enable a remote attacker to execute arbitrary code or downgrade the device's firmware to a version with known vulnerabilities. Recommendations: For NCR S2 Dispenser controller versions prior to 0x0108, update the firmware to version 0x0108 or later. For NCR S1 Dispenser controller, at the moment, there is no information about a newer version that contains a fix for this vulnerability.

Name of the Vulnerable Software and Affected Versions: NCR S1 Dispenser controller versions prior to 0x0156 Description: The issue is related to the memory write mechanism in the NCR S1 Dispenser controller, which lacks sufficient protection. This allows an unauthenticated user to upgrade or downgrade the firmware of the device, including to older versions with known vulnerabilities. Exploitation of this issue may enable a remote attacker to execute arbitrary code or downgrade the device's firmware to an outdated version with known vulnerabilities. Recommendations: For versions prior to 0x0156, update the firmware to version 0x0156 or later to resolve the issue. As a temporary workaround, consider restricting access to the device to minimize the risk of exploitation.