Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04984

Опубликовано: 21 мая 2024
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения биометрических терминалов ZkTeco ProFace X, Smartec ST-FR043 и Smartec ST-FR041ME связана с ошибками в обработке относительного пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации

Вендор

ZKTECO CO., LTD

Наименование ПО

Smartec ST-FR041ME
Smartec ST-FR043
ZkTeco ProFace X

Версия ПО

ZAM170-NF-1.8.25-7354-Ver1.0.0 (Smartec ST-FR041ME)
ZAM170-NF-1.8.25-7354-Ver1.0.0 (Smartec ST-FR043)
ZAM170-NF-1.8.25-7354-Ver1.0.0 (ZkTeco ProFace X)

Тип ПО

ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Компенсирующие меры:
- сегментирование сети для ограничения доступа к промышленному сегменту из других подсетей;
- ограничение доступа из внешних сетей (Интернет);
- использование надёжных паролей администратора и замена установленных по умолчанию;
- усиление настроек безопасности устройства (включение тепловых датчиков на биометрическом терминале, чтобы избежать авторизации по случайной фотографии);
- сведение к минимуму использования QR-кодов.

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 75%
0.00856
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-3940

CVSS3: 7.5
nvd
больше 1 года назад

Relative Path Traversal vulnerability in ZkTeco-based OEM devices allows an attacker to access any file on the system. This issue affects ZkTeco-based OEM devices (ZkTeco ProFace X, Smartec ST-FR043, Smartec ST-FR041ME and possibly others) with the ZAM170-NF-1.8.25-7354-Ver1.0.0 and possibly others.

github логотип

GHSA-g7hp-974g-6wg8

CVSS3: 7.5
github
больше 1 года назад

Relative Path Traversal vulnerability in ZkTeco-based OEM devices allows an attacker to access any file on the system. This issue affects ZkTeco-based OEM devices (ZkTeco ProFace X, Smartec ST-FR043, Smartec ST-FR041ME and possibly others) with the ZAM170-NF-1.8.25-7354-Ver1.0.0 and possibly others.

EPSS

Процентиль: 75%
0.00856
Низкий

7.5 High

CVSS3

7.8 High

CVSS2