PT-2022-24575 · Zkteco · Zkteco Biotime
Ahmed Kameran
·
Publicado
2022-11-30
·
Atualizado
2023-09-13
·
CVE-2022-38802
CVSS v3.1
6.2
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Zkteco BioTime anteriores à 8.5.3 Build:20200816.447
Descrição
O problema está relacionado a um controle de acesso incorreto, permitindo que um administrador autenticado explore uma vulnerabilidade XSS em um gerador de PDF ao exportar dados como PDF, possibilitando que ele leia arquivos locais. Isso pode ser feito por meio de vários recursos, como resign, private message, manual log, time interval, attshift e holiday.
Recomendações
Para versões do Zkteco BioTime anteriores à 8.5.3 Build:20200816.447, atualize para a versão 8.5.3 Build:20200816.447 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao gerador de PDF e limitar a capacidade de exportar dados como PDF para minimizar o risco de exploração.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zkteco Biotime