CVE-2023-38950
CVE-2023-38950
Em resumo
Um atacante pode ler qualquer arquivo no servidor ZKTeco BioTime enviando uma requisição especialmente preparada para a API iclock, sem precisar estar autenticado. Isso permite acessar dados sensíveis como arquivos de configuração e credenciais.
Detalhe técnico
Vulnerabilidade de travessia de diretórios na API iclock do ZKTeco BioTime v8.5.5 permite que atacantes remotos não autenticados leiam arquivos arbitrários através de parâmetros de caminho malformados. A falha explora validação insuficiente de entrada em manipulação de caminhos de arquivo, permitindo sequências de travessia de diretório contornarem controles de acesso.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A path traversal vulnerability in the iclock API of ZKTeco BioTime v8.5.5 allows unauthenticated attackers to read arbitrary files via supplying a crafted payload. This vulnerability was fixed in version 9.0.120240617.19506 of ZKBioTime.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
n/a · n/aPoCs públicas encontradas — 1
cve_referencesploitus.com/exploit?id=PACKETSTORM:177859não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://claroty.com/team82/disclosure-dashboard/cve-2023-38950https://sploitus.com/exploit?id=PACKETSTORM:177859https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-38950https://www.fortinet.com/content/dam/fortinet/assets/reports/report-incident-response-middle-east.pdfhttp://zkteco.com