Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-05237

Опубликовано: 21 мая 2024
Источник: fstec
CVSS3: 4.6
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения биометрических терминалов ZkTeco ProFace X, Smartec ST-FR043 и Smartec ST-FR041ME связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный SQL-код, обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации

Вендор

ZKTECO CO., LTD

Наименование ПО

Smartec ST-FR041ME
Smartec ST-FR043
ZkTeco ProFace X

Версия ПО

ZAM170-NF-1.8.25-7354-Ver1.0.0 (Smartec ST-FR041ME)
ZAM170-NF-1.8.25-7354-Ver1.0.0 (Smartec ST-FR043)
ZAM170-NF-1.8.25-7354-Ver1.0.0 (ZkTeco ProFace X)

Тип ПО

ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,6)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования;
- сегментирование сети для ограничения доступа из других подсетей;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
- использование надёжных паролей администратора с заменой установленных по умолчанию;
- проверка и усиление настроек безопасности устройства (включение тепловых датчиков на биометрическом терминале, чтобы избежать авторизации по случайной фотографии;
- сведение к минимуму использование QR-кодов;
- регулярное обновление прошивки.

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 39%
0.00175
Низкий

4.6 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-3938

CVSS3: 4.6
nvd
больше 1 года назад

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in ZkTeco-based OEM devices allows an attacker to authenticate under any user from the device database. This issue affects  ZkTeco-based OEM devices (ZkTeco ProFace X, Smartec ST-FR043, Smartec ST-FR041ME and possibly others) with the ZAM170-NF-1.8.25-7354-Ver1.0.0 and possibly others.

github логотип

GHSA-gp7w-fhxq-93jr

CVSS3: 4.6
github
больше 1 года назад

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in ZkTeco-based OEM devices allows an attacker to authenticate under any user from the device database. This issue affects  ZkTeco-based OEM devices (ZkTeco ProFace X, Smartec ST-FR043, Smartec ST-FR041ME and possibly others) with the ZAM170-NF-1.8.25-7354-Ver1.0.0 and possibly others.

EPSS

Процентиль: 39%
0.00175
Низкий

4.6 Medium

CVSS3

7.8 High

CVSS2