PT-2024-19697 · Zkteco · Zkbio Media
Hussein Amer
·
Publicado
2024-03-08
·
Atualizado
2025-06-10
·
CVE-2024-2318
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
ZKTeco ZKBio Media versão 2.0.0 x64 2024-01-29-1028
Descrição
Foi identificada uma falha que afeta uma função desconhecida do arquivo /pro/common/download do componente Service Port 9999. A manipulação do argumento
fileName com a entrada ../../../../zkbio media.sql leva a um traversal de caminho: ‘../filedir’. É possível lançar o ataque remotamente. A exploração foi divulgada ao público e pode ser utilizada. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma.Recomendações
Para o ZKTeco ZKBio Media versão 2.0.0 x64 2024-01-29-1028, como solução temporária, considere restringir o acesso à Porta de Serviço 9999 para minimizar o risco de exploração. Evite usar o argumento
fileName no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Path traversal
Relative Path Traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zkbio Media