Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-04433

Опубликовано: 01 авг. 2023
Источник: fstec
CVSS3: 6.3
CVSS2: 7.5
EPSS Средний

Описание

Уязвимость веб-платформы управления учетом рабочего времени BioTime связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации путем отправки специально созданного HTTP-запроса

Вендор

ZKTECO CO., LTD

Наименование ПО

BioTime

Версия ПО

8.5.5 (BioTime)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования;
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- принудительная смена паролей пользователей;
- ограничение удаленного доступа к операционной системе недоверенных пользователей (SSH и проч.);
- ограничение доступа к командной строке для недоверенных пользователей;
- использование антивирусных средств защиты;
- мониторинг действий пользователей.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 95%
0.16963
Средний

6.3 Medium

CVSS3

7.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-38952

CVSS3: 7.5
nvd
больше 2 лет назад

Insecure access control in ZKTeco BioTime through 9.0.1 allows authenticated attackers to escalate their privileges due to the fact that session ids are not validated for the type of user accessing the application by default. Privilege restrictions between non-admin and admin users are not enforced and any authenticated user can leverage admin functions without restriction by making direct requests to administrative endpoints.

github логотип

GHSA-7xfv-pf6f-p6v2

CVSS3: 7.5
github
больше 2 лет назад

Insecure access control in ZKTeco BioTime v8.5.5 allows unauthenticated attackers to read sensitive backup files and access sensitive information such as user credentials via sending a crafted HTTP request to the static files resources of the system.

EPSS

Процентиль: 95%
0.16963
Средний

6.3 Medium

CVSS3

7.5 High

CVSS2