PT-2024-13400 · Ncr · Ncr Terminal Handler
30T4
+1
·
Publicado
2024-01-19
·
Atualizado
2025-06-17
·
CVE-2023-47024
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
NCR Terminal Handler versão 1.5.1
Descrição
O problema está relacionado à falsificação de solicitação entre sites (CSRF), que pode levar à apropriação de conta com um único clique. Isso é feito explorando várias vulnerabilidades, incluindo uma função não divulgada no WSDL que possui controles de segurança fracos e pode aceitar tipos de conteúdo personalizados. Um invasor remoto pode obter informações confidenciais e escalar privilégios por meio de um script malicioso direcionado ao componente
UserSelfService.Recomendações
Para o NCR Terminal Handler versão 1.5.1, considere desativar o componente
UserSelfService até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à função WSDL com controles de segurança fracos para minimizar o risco de aceitação de tipos de conteúdo personalizados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ncr Terminal Handler