Описание
Уязвимость веб-платформы для создания систем контроля и управления доступом ZKBio Access lVS связана с ошибками в обработке относительного пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение произвольных файлов
Вендор
ZKTECO CO., LTD
Наименование ПО
ZKBio Access lVS
Версия ПО
3.3.1 (ZKBio Access lVS)
Тип ПО
Средство АСУ ТП
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- ограничение доступа к программному средству из общедоступных сетей (Интернет);
- использование средств межсетевого экранирования;
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- принудительная смена паролей пользователей;
- ограничение удаленного доступа к операционной системе недоверенных пользователей (SSH и проч.);
- ограничение доступа к командной строке для недоверенных пользователей;
- использование антивирусных средств защиты;
- мониторинг действий пользователей.
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 58%
0.00361
Низкий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
nvd
около 2 лет назад
A path traversal vulnerability in ZKTeco BioAccess IVS v3.3.1 allows unauthenticated attackers to read arbitrary files via supplying a crafted payload.
CVSS3: 7.5
github
около 2 лет назад
A path traversal vulnerability in ZKTeco BioAccess IVS v3.3.1 allows unauthenticated attackers to read arbitrary files via supplying a crafted payload.
EPSS
Процентиль: 58%
0.00361
Низкий
7.5 High
CVSS3
7.8 High
CVSS2