Hussein Amer

**Nome do software vulnerável e versões afetadas** Versões do ZKTeco BioTime até a 9.5.2 **Descrição** Foi identificada uma vulnerabilidade no componente Handler do system-group-add. A manipulação do argumento `user` com entradas maliciosas, como `<script>alert(‘XSS’)</script>`, leva a um ataque de cross-site scripting. Essa vulnerabilidade pode ser explorada remotamente. **Recomendações** Para as versões do ZKTeco BioTime até a 9.5.2, considere desativar o componente system-group-add Handler até que um patch esteja disponível. Restrinja o acesso ao componente afetado para minimizar o risco de exploração. Evite usar o argumento `user` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ZKTeco ZKBio Media versão 2.0.0 x64 2024-01-29-1028 **Descrição** Foi identificada uma falha que afeta uma função desconhecida do arquivo /pro/common/download do componente Service Port 9999. A manipulação do argumento `fileName` com a entrada ../../../../zkbio media.sql leva a um traversal de caminho: ‘../filedir’. É possível lançar o ataque remotamente. A exploração foi divulgada ao público e pode ser utilizada. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. **Recomendações** Para o ZKTeco ZKBio Media versão 2.0.0 x64 2024-01-29-1028, como solução temporária, considere restringir o acesso à Porta de Serviço 9999 para minimizar o risco de exploração. Evite usar o argumento `fileName` no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ZKTeco ZKBio Access IVS, versões até 3.3.2 **Descrição** Foi identificada uma falha no componente “Barra de pesquisa de nome do departamento”, que permite a execução de scripts entre sites (cross-site scripting) por meio da manipulação de entradas, como `<marquee>hi`. Essa falha pode ser explorada remotamente. A vulnerabilidade já foi divulgada publicamente. **Recomendações** Para as versões do ZKTeco ZKBio Access IVS até 3.3.2, considere restringir o acesso ao componente “Barra de pesquisa de nome de departamento” até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o campo de entrada na “Barra de pesquisa de nome de departamento” para minimizar o risco de exploração.