Boletín de vulnerabilidades
Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:
Vulnerabilidad en los servidores Aloha POS/BOH en un parámetro runCommand en CMCAgent en el NCR Command Center Agent (CVE-2021-3122)
Gravedad:
Alta

Publication date: 07/02/2021
Last modified:
09/02/2021
Descripción:
CMCAgent en el NCR Command Center Agent versión 16.3, en los servidores Aloha POS/BOH permite el envío de un parámetro runCommand (dentro de un documento XML enviado al puerto 8089) que permite una ejecución no autenticada remota de un comando arbitrario como SYSTEM, como se explotó "in the wild" en 2020 y/o 2021. NOTA: la posición del proveedor es que la explotación se produce solo en dispositivos con un determinada "misconfiguration"