PT-2024-4718 · Zkteco+1 · Zkteco Proface X+2
Alexander Zaytsev
·
Publicado
2024-05-21
·
Atualizado
2024-05-21
·
CVE-2023-3938
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas:
Versões do ZkTeco ProFace X com firmware ZAM170-NF-1.8.25
Versões do Smartec ST-FR043 com firmware ZAM170-NF-1.8.25
Versões do Smartec ST-FR041ME com firmware ZAM170-NF-1.8.25
Descrição:
O problema está relacionado à neutralização inadequada de elementos especiais usados em um comando SQL, o que pode permitir que um invasor execute código SQL arbitrário, contorne restrições de segurança e obtenha acesso não autorizado a informações protegidas. Isso pode permitir que um invasor se autentique como qualquer usuário do banco de dados do dispositivo.
Recomendações:
Para o ZkTeco ProFace X com firmware ZAM170-NF-1.8.25, atualize o firmware para uma versão que corrija a vulnerabilidade de injeção de SQL.
Para o Smartec ST-FR043 com firmware ZAM170-NF-1.8.25, atualize o firmware para uma versão que corrija a vulnerabilidade de injeção de SQL.
Para o Smartec ST-FR041ME com firmware ZAM170-NF-1.8.25, atualize o firmware para uma versão que corrija a vulnerabilidade de injeção de SQL.
Como solução alternativa temporária, considere restringir o acesso ao banco de dados do dispositivo para minimizar o risco de exploração.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Smartec St-Fr041Me
Smartec St-Fr043
Zkteco Proface X