CVE-2020-36128

**Nome do software vulnerável e versões afetadas:

Pax Technology PAXSTORE versões 7.0.8 20200511171508 e anteriores

Descrição:

A vulnerabilidade permite que um invasor intercepte o tráfego HTTPS da loja de aplicativos, colete a solicitação responsável pela atribuição do X-Terminal-Token ao terminal e crie um X-Terminal-Token fingindo ser outro dispositivo. Isso permite que o invasor autentique seu próprio terminal de pagamento na loja de aplicativos por meio da falsificação de token. Cada terminal de pagamento possui um token de sessão, chamado X-Terminal-Token, para acessar o marketplace, o que permite que a loja identifique o terminal e disponibilize os aplicativos distribuídos por seu revendedor.

Recomendações:

Para as versões 7.0.8 20200511171508 e anteriores, considere desativar o uso do X-Terminal-Token até que um patch esteja disponível para impedir a falsificação de token. Restrinja o acesso à loja de aplicativos para minimizar o risco de exploração. Evite usar o X-Terminal-Token para autenticação até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.