PT-2020-11948 · Ncr · Aptra Xfs+1
Dmitry Turchenkov
+1
·
Publicado
2020-08-21
·
Atualizado
2025-11-04
·
CVE-2020-10126
CVSS v3.1
7.6
Alta
| Vetor | AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Caixas eletrônicos NCR SelfServ executando o APTRA XFS versão 05.01.00
Descrição
O problema diz respeito à falta de validação adequada para atualizações de software relacionadas ao aceitador de maços de notas (BNA) nos caixas eletrônicos NCR SelfServ. Isso permite que um invasor com acesso físico aos componentes internos do caixa eletrônico reinicie o computador host e execute código arbitrário com privilégios de SISTEMA. A vulnerabilidade é explorada durante o processo de inicialização, quando o mecanismo de atualização procura por arquivos CAB em mídias removíveis e executa um arquivo específico sem validar a assinatura do arquivo CAB.
Recomendações
Para caixas eletrônicos NCR SelfServ executando o APTRA XFS versão 05.01.00, considere restringir o acesso físico aos componentes internos do caixa eletrônico para minimizar o risco de exploração. Como solução temporária, evite usar mídias removíveis para atualizações até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Aptra Xfs
Ncr Selfserv Atms