CVE-2020-36126

**Nome do software vulnerável e versões afetadas:

Pax Technology PAXSTORE versões 7.0.8 20200511171508 e anteriores

Descrição:

O problema está relacionado a um controle de acesso incorreto, o que pode levar à escalada remota de privilégios. Especificamente, os endpoints do marketplace PAXSTORE permitem que um usuário autenticado leia e grave dados que não lhe pertencem, incluindo dados de usuários terceiros, aplicativos e terminais de pagamento. Isso pode permitir que um invasor se faça passar por qualquer usuário, resultando potencialmente na divulgação, modificação ou destruição não autorizada de informações.

Recomendações:

Para as versões 7.0.8 20200511171508 e anteriores, considere restringir o acesso aos endpoints do marketplace PAXSTORE para impedir a modificação não autorizada de dados até que uma correção esteja disponível. Como solução alternativa temporária, limite os privilégios dos usuários autenticados para permitir que eles acessem e modifiquem apenas seus próprios dados.