CVE-2016-20028
ŚrednieCVSS 4.3Streszczenie
ZKTeco ZKBioSecurity 3.0 zawiera podatność typu cross-site request forgery, która pozwala atakującym na wykonywanie działań administracyjnych poprzez oszukiwanie zalogowanych użytkowników, aby odwiedzili złośliwe strony internetowe. Atakujący mogą tworzyć żądania HTTP, które dodają konta superadmina bez weryfikacji, co umożliwia nieautoryzowany dostęp administracyjny.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym uzyskanie pełnych uprawnień administracyjnych bez odpowiednich zabezpieczeń. Może to prowadzić do nieautoryzowanego dostępu do wrażliwych danych i systemów.
Rekomendacja
Zaleca się aktualizację ZKTeco ZKBioSecurity do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto wdrożyć mechanizmy ochrony przed CSRF, aby zminimalizować ryzyko tego typu ataków.
Oryginalny opis (angielski, źródło NVD)
ZKTeco ZKBioSecurity 3.0 contains a cross-site request forgery vulnerability that allows attackers to perform administrative actions by tricking logged-in users into visiting malicious websites. Attackers can craft HTTP requests that add superadmin accounts without validity checks, enabling unauthorized administrative access when authenticated users visit attacker-controlled pages.

