Katalog CVE

Aktywnie wykorzystywana w atakach

ZKTeco BioTime Path Traversal Vulnerability

ZKTeco — BioTime · Figuruje w katalogu CISA KEV od 2025-05-19. Oznacza to potwierdzone ataki w środowisku produkcyjnym.

Wymagane działanie: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

CVE-2023-38950

WysokieCVSS 7.5KEV
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Bardzo wysokie ryzyko
84.88%

Percentyl 100 — wyżej niż 100% wszystkich znanych CVE

Streszczenie

Podatność typu path traversal w interfejsie API iclock systemu ZKTeco BioTime w wersji 8.5.5 umożliwia nieuwierzytelnionym atakującym odczyt dowolnych plików poprzez spreparowane żądanie. Luka została naprawiona w wersji 9.0.120240617.19506.

Ocena ryzyka

Atakujący może zdalnie odczytać poufne pliki systemowe, takie jak konfiguracje, hasła czy dane osobowe, co prowadzi do naruszenia poufności i integralności systemu.

Rekomendacja

Niezwłocznie zaktualizuj system ZKTeco BioTime do wersji 9.0.120240617.19506 lub nowszej. Jeśli aktualizacja nie jest możliwa, ogranicz dostęp do interfejsu API iclock tylko dla zaufanych sieci.

Oryginalny opis (angielski, źródło NVD)

A path traversal vulnerability in the iclock API of ZKTeco BioTime v8.5.5 allows unauthenticated attackers to read arbitrary files via supplying a crafted payload. This vulnerability was fixed in version 9.0.120240617.19506 of ZKBioTime.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS