CVE-2023-3943

Nome do software vulnerável e versões afetadas:

Versões do ZkTeco ProFace X anteriores à versão corrigida

Versões do Smartec ST-FR043 anteriores à versão corrigida

Versões do Smartec ST-FR041ME anteriores à versão corrigida

Dispositivos OEM baseados em ZkTeco com versões anteriores à versão corrigida

Dispositivos OEM baseados em ZkTeco com firmware ZAM170-NF-1.8.25-7354-Ver1.0.0 e possivelmente outros

Descrição:

O problema está relacionado a uma vulnerabilidade de estouro de buffer baseada em pilha em dispositivos OEM baseados em ZkTeco, que pode permitir a execução de código arbitrário devido à falta de mecanismos de proteção, como canários de pilha e PIE. Essa vulnerabilidade pode ser explorada por um invasor remoto.

Recomendações:

Para o ZkTeco ProFace X, atualize para uma versão que inclua a correção para este problema.

Para o Smartec ST-FR043, atualize para uma versão que inclua a correção para este problema.

Para o Smartec ST-FR041ME, atualize para uma versão que inclua a correção para este problema.

Para dispositivos OEM baseados em ZkTeco, atualize para uma versão que inclua a correção para este problema.

Como solução alternativa temporária, considere desativar qualquer funcionalidade que possa estar usando o código vulnerável até que um patch esteja disponível.

Restrinja o acesso aos dispositivos para minimizar o risco de exploração.