CVE-2023-38950
CVE-2023-38950
En resumen
Un atacante puede leer cualquier archivo en el servidor ZKTeco BioTime enviando una solicitud especialmente diseñada a la API iclock, sin necesidad de autenticarse. Esto permite acceder a datos sensibles como archivos de configuración y credenciales.
Detalle técnico
Vulnerabilidad de traversal de directorios en la API iclock de ZKTeco BioTime v8.5.5 permite que atacantes remotos no autenticados lean archivos arbitrarios mediante parámetros de ruta malformados. La falla explota validación insuficiente de entrada en manejo de rutas de archivo, permitiendo secuencias de traversal de directorio eludir controles de acceso.
Resumen generado y traducido por IA a partir de la descripción oficial.
A path traversal vulnerability in the iclock API of ZKTeco BioTime v8.5.5 allows unauthenticated attackers to read arbitrary files via supplying a crafted payload. This vulnerability was fixed in version 9.0.120240617.19506 of ZKBioTime.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
n/a · n/aPoCs públicas encontradas — 1
cve_referencesploitus.com/exploit?id=PACKETSTORM:177859no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://claroty.com/team82/disclosure-dashboard/cve-2023-38950https://sploitus.com/exploit?id=PACKETSTORM:177859https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-38950https://www.fortinet.com/content/dam/fortinet/assets/reports/report-incident-response-middle-east.pdfhttp://zkteco.com