CVE-2016-20031
ŚrednieCVSS 5.5Streszczenie
ZKTeco ZKBioSecurity 3.0 zawiera podatność na obejście lokalnej autoryzacji w pliku visLogin.jsp, która pozwala atakującym na uwierzytelnienie bez ważnych poświadczeń poprzez fałszowanie żądań localhost.
Ocena ryzyka
Atakujący mogą uzyskać dostęp do wrażliwych informacji i wykonywać nieautoryzowane działania, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację ZKTeco ZKBioSecurity do najnowszej wersji oraz wdrożenie dodatkowych mechanizmów zabezpieczeń, aby zminimalizować ryzyko wykorzystania tej podatności.
Oryginalny opis (angielski, źródło NVD)
ZKTeco ZKBioSecurity 3.0 contains a local authorization bypass vulnerability in visLogin.jsp that allows attackers to authenticate without valid credentials by spoofing localhost requests. Attackers can exploit the EnvironmentUtil.getClientIp() method which treats IPv6 loopback address 0:0:0:0:0:0:0:1 as 127.0.0.1 and authenticates using the IP as username with hardcoded password 123456 to access sensitive information and perform unauthorized actions.

