CVE-2022-42953
CVE-2022-42953
En resumen
Los dispositivos de reloj de puntaje ZKTeco exponen información sensible a través de URLs web específicas que no requieren autenticación adecuada. Un atacante puede acceder directamente a estas URLs para recuperar datos confidenciales sin iniciar sesión.
Detalle técnico
Vulnerabilidad CWE-425 (Direct Request) en dispositivos biométricos ZKTeco permite acceso no autenticado a información sensible mediante endpoints form/DataApp con parámetros de estilo. El ataque requiere acceso a la red de la interfaz web del dispositivo; la explotación exitosa recupera datos confidenciales sin autenticación.
Resumen generado y traducido por IA a partir de la descripción oficial.
Certain ZKTeco products (ZEM500-510-560-760, ZEM600-800, ZEM720, ZMM) allow access to sensitive information via direct requests for the form/DataApp?style=1 and form/DataApp?style=0 URLs. The affected versions may be before 8.88 (ZEM500-510-560-760, ZEM600-800, ZEM720) and 15.00 (ZMM200-220-210). The fixed versions are firmware version 8.88 (ZEM500-510-560-760, ZEM600-800, ZEM720) and firmware version 15.00 (ZMM200-220-210).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
n/a · n/aPoCs públicas encontradas — 1
exploitdbwww.exploit-db.com/exploits/51112no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →