PT-2024-37309 · Zkteco · Zkbio Cvsecurity V5000

Stux

Publicado

2024-06-15

Atualizado

2025-07-17

CVE-2024-6006

CVSS v3.1

3.5

Baixa

Vetor

AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

Nome do software vulnerável e versões afetadas:

ZKTeco ZKBio CVSecurity V5000 versão 4.1.0

Descrição:

Foi encontrada uma vulnerabilidade no componente Summer Schedule Handler. A manipulação do argumento Schedule Name leva a um ataque de script entre sites (XSS). O ataque pode ser lançado remotamente. A exploração já foi divulgada ao público e pode estar em uso.

Recomendações:

Para a versão 4.1.0, como solução temporária, considere restringir o uso do argumento Schedule Name no componente Summer Schedule Handler até que uma correção esteja disponível. Evite usar o argumento Schedule Name na funcionalidade afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

XSS

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79CWE-94

Identificadores relacionados

CVE-2024-6006

Produtos afetados

Zkbio Cvsecurity V5000

PT-2024-37309 · Zkteco · Zkbio Cvsecurity V5000

CVE-2024-6006

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 7