Katalog CVE

CVE-2016-20031

ŚrednieCVSS 5.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

ZKTeco ZKBioSecurity 3.0 zawiera podatność na obejście lokalnej autoryzacji w pliku visLogin.jsp, która pozwala atakującym na uwierzytelnienie bez ważnych poświadczeń poprzez fałszowanie żądań localhost.

Ocena ryzyka

Atakujący mogą uzyskać dostęp do wrażliwych informacji i wykonywać nieautoryzowane działania, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację ZKTeco ZKBioSecurity do najnowszej wersji oraz wdrożenie dodatkowych mechanizmów zabezpieczeń, aby zminimalizować ryzyko wykorzystania tej podatności.

Oryginalny opis (angielski, źródło NVD)

ZKTeco ZKBioSecurity 3.0 contains a local authorization bypass vulnerability in visLogin.jsp that allows attackers to authenticate without valid credentials by spoofing localhost requests. Attackers can exploit the EnvironmentUtil.getClientIp() method which treats IPv6 loopback address 0:0:0:0:0:0:0:1 as 127.0.0.1 and authenticates using the IP as username with hardcoded password 123456 to access sensitive information and perform unauthorized actions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS