Katalog CVE

CVE-2016-20027

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

ZKTeco ZKBioSecurity 3.0 zawiera wiele podatności na refleksyjny atak XSS, które pozwalają atakującym na wykonanie dowolnego kodu HTML i skryptów poprzez wstrzykiwanie złośliwych ładunków w niesanitizowanych parametrach w wielu skryptach.

Ocena ryzyka

Atakujący mogą stworzyć złośliwe adresy URL z ładunkami XSS w podatnych parametrach, co umożliwia wykonanie skryptów w sesji przeglądarki użytkownika w kontekście dotkniętej aplikacji.

Rekomendacja

Zaleca się przegląd i sanitizację wszystkich parametrów wejściowych w aplikacji oraz wdrożenie odpowiednich zabezpieczeń przed atakami XSS.

Oryginalny opis (angielski, źródło NVD)

ZKTeco ZKBioSecurity 3.0 contains multiple reflected cross-site scripting vulnerabilities that allow attackers to execute arbitrary HTML and script code by injecting malicious payloads through unsanitized parameters in multiple scripts. Attackers can craft malicious URLs with XSS payloads in vulnerable parameters to execute scripts in a user's browser session within the context of the affected application.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS