Ahmed Kameran

**Nome do software vulnerável e versões afetadas** Versões do NEXSYS-ONE anteriores à v.Rev.15320 **Descrição** A vulnerabilidade permite que um invasor remoto obtenha informações confidenciais por meio de uma solicitação maliciosa. Isso é resultado de uma vulnerabilidade de traversal de diretório. **Recomendações** Para versões anteriores à v.Rev.15320, atualize para a v15320 ou posterior para corrigir o problema. Além disso, audite o sistema em busca de acessos não autorizados para garantir que nenhuma atividade maliciosa tenha ocorrido.

**Nome do software vulnerável e versões afetadas** Versões do Zkteco BioTime anteriores à 8.5.3 Build:20200816.447 **Descrição** A vulnerabilidade permite que um funcionário assuma o controle de uma sessão de administrador e de cookies usando cross-site scripting cego. **Recomendações** Para versões anteriores à 8.5.3 Build:20200816.447, atualize para a versão 8.5.3 Build:20200816.447 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Zkteco BioTime anteriores à 8.5.3 Build:20200816.447 **Descrição** O problema está relacionado a um controle de acesso incorreto, permitindo que um administrador autenticado explore uma vulnerabilidade XSS em um gerador de PDF ao exportar dados como PDF, possibilitando que ele leia arquivos locais. Isso pode ser feito por meio de vários recursos, como resign, private message, manual log, time interval, attshift e holiday. **Recomendações** Para versões do Zkteco BioTime anteriores à 8.5.3 Build:20200816.447, atualize para a versão 8.5.3 Build:20200816.447 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao gerador de PDF e limitar a capacidade de exportar dados como PDF para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Zkteco BioTime anteriores à 8.5.3 Build:20200816.447 **Descrição** A vulnerabilidade diz respeito a um controle de acesso incorreto nas funções de férias, horas extras e registro manual. Um funcionário autenticado pode explorar uma vulnerabilidade XSS no gerador de PDF ao exportar dados para o formato PDF, permitindo a leitura de arquivos locais. **Recomendações** Para versões anteriores à 8.5.3 Build:20200816.447, atualize para a versão 8.5.3 Build:20200816.447 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao gerador de PDF e ao recurso de exportação de dados como PDF até que um patch esteja disponível. Evite usar o gerador de PDF para exportar dados confidenciais até que o problema seja resolvido.