CVE-2026-12183

Nome do Software Vulnerável e Versões Afetadas Nefteprodukttekhnika BUK TS-G Gas Station Automation System versões 2.9.1 a 2.10.2

Description Um problema de autenticação inadequada existe no módulo de configuração do sistema. O endpoint '/php/ajax-login.php' retorna userid=1 (administrador) ao receber qualquer requisição HTTP POST com credenciais arbitrárias através dos parâmetros login e pwd. Além disso, endpoints privilegiados sob '/php/ajax-main.php' e '/modules/*' não validam sessões no lado do servidor. Isso permite que um invasor remoto não autenticado execute ações administrativas, como ler e modificar regras de usuário, medidores de tanques de combustível, dispensadores de combustível, relés, caixas registradoras, terminais bancários, cartões de combustível, displays de preços e clientes, coleta de dinheiro e regras de precificação.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.