PT-2022-23518 · Zkteco · Zkbio Cvsecurity V5000
Caio Burgardt
+1
·
Publicado
2022-10-07
·
Atualizado
2022-10-11
·
CVE-2022-36634
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
ZKTeco ZKBioSecurity V5000 versão 3.0.5 r
Descrição
Uma falha no controle de acesso permite que invasores criem arbitrariamente usuários administradores por meio de uma solicitação HTTP maliciosa.
Recomendações
Para o ZKTeco ZKBioSecurity V5000 versão 3.0.5 r, considere restringir o acesso à funcionalidade de criação de usuários administradores até que uma correção esteja disponível. Como solução alternativa temporária, monitore de perto as criações de contas de usuário para detectar e responder a possíveis adições não autorizadas de usuários administradores. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zkbio Cvsecurity V5000