Aktywnie wykorzystywana w atakach
ZKTeco BioTime Path Traversal Vulnerability
ZKTeco — BioTime · Figuruje w katalogu CISA KEV od 2025-05-19. Oznacza to potwierdzone ataki w środowisku produkcyjnym.
Wymagane działanie: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
CVE-2023-38950
WysokieCVSS 7.5KEVPrawdopodobieństwo exploitacji (EPSS)
Bardzo wysokie ryzykoPercentyl 100 — wyżej niż 100% wszystkich znanych CVE
Streszczenie
Podatność typu path traversal w interfejsie API iclock systemu ZKTeco BioTime w wersji 8.5.5 umożliwia nieuwierzytelnionym atakującym odczyt dowolnych plików poprzez spreparowane żądanie. Luka została naprawiona w wersji 9.0.120240617.19506.
Ocena ryzyka
Atakujący może zdalnie odczytać poufne pliki systemowe, takie jak konfiguracje, hasła czy dane osobowe, co prowadzi do naruszenia poufności i integralności systemu.
Rekomendacja
Niezwłocznie zaktualizuj system ZKTeco BioTime do wersji 9.0.120240617.19506 lub nowszej. Jeśli aktualizacja nie jest możliwa, ogranicz dostęp do interfejsu API iclock tylko dla zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
A path traversal vulnerability in the iclock API of ZKTeco BioTime v8.5.5 allows unauthenticated attackers to read arbitrary files via supplying a crafted payload. This vulnerability was fixed in version 9.0.120240617.19506 of ZKBioTime.

