CVE-2023-47031
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 42 - wyżej niż 42% wszystkich znanych CVE
Streszczenie
Podatność w NCR Terminal Handler v.1.5.1 umożliwia zdalnemu atakującemu eskalację uprawnień poprzez spreparowane żądanie POST do komponentów SOAP API: grantRolesToUsers, grantRolesToGroups i grantRolesToOrganization.
Ocena ryzyka
Atakujący może uzyskać nieautoryzowane uprawnienia administracyjne, co prowadzi do pełnej kompromitacji systemu i potencjalnego naruszenia poufności oraz integralności danych.
Rekomendacja
Należy niezwłocznie zaktualizować NCR Terminal Handler do najnowszej dostępnej wersji oraz ograniczyć dostęp do SOAP API tylko dla zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
An issue in NCR Terminal Handler v.1.5.1 allows a remote attacker to escalate privileges via a crafted POST request to the grantRolesToUsers, grantRolesToGroups, and grantRolesToOrganization SOAP API component.

