CVE-2023-3941

Versões do ZkTeco ProFace X anteriores à versão corrigida

Versões do Smartec ST-FR043 anteriores à versão corrigida

Versões do Smartec ST-FR041ME anteriores à versão corrigida

Dispositivos OEM baseados em ZkTeco em versões anteriores à versão corrigida, incluindo aqueles com ZAM170-NF-1.8.25-7354-Ver1.0.0

O problema está relacionado a uma vulnerabilidade de Traversal de Caminho Relativo nos componentes Handler for User Photo Upload Command e Handler for Picture Upload Command de dispositivos OEM baseados em ZkTeco. Essa vulnerabilidade pode ser explorada por um invasor para gravar qualquer arquivo no sistema com privilégios de root, permitindo-lhe potencialmente elevar seus privilégios e obter acesso para ler, modificar ou excluir dados. A vulnerabilidade afeta dispositivos utilizados em setores de alta segurança, incluindo usinas nucleares, hospitais e escritórios, que suportam métodos avançados de autenticação, como reconhecimento facial e leitura de código QR.

Para o ZkTeco ProFace X, atualize para uma versão que inclua uma correção para este problema.

Para o Smartec ST-FR043, atualize para uma versão que inclua uma correção para este problema.

Para o Smartec ST-FR041ME, atualize para uma versão que inclua uma correção para este problema.

Para dispositivos OEM baseados em ZkTeco, atualize para uma versão que inclua uma correção para este problema, incluindo aqueles com ZAM170-NF-1.8.25-7354-Ver1.0.0.

Como solução alternativa temporária, considere restringir o acesso aos componentes vulneráveis até que um patch esteja disponível.