Katalog CVE

CVE-2016-20024

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

ZKTeco ZKTime.Net w wersji 3.0.1.6 zawiera podatność na niebezpieczne uprawnienia plików, która pozwala nieuprzywilejowanym użytkownikom na eskalację uprawnień poprzez modyfikację plików wykonywalnych. Atakujący mogą wykorzystać uprawnienia do zapisu dla wszystkich w katalogu ZKTimeNet3.0 oraz jego zawartości, aby zastąpić pliki wykonywalne złośliwymi binariami.

Ocena ryzyka

Podatność ta stwarza ryzyko eskalacji uprawnień, co może prowadzić do nieautoryzowanego dostępu do systemu i jego zasobów. Organizacja może być narażona na poważne zagrożenia związane z bezpieczeństwem danych.

Rekomendacja

Zaleca się przegląd i dostosowanie uprawnień do plików w katalogu ZKTimeNet3.0, aby uniemożliwić nieautoryzowanym użytkownikom modyfikację plików wykonywalnych. Należy również przeprowadzić audyt bezpieczeństwa systemu w celu identyfikacji i usunięcia potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

ZKTeco ZKTime.Net 3.0.1.6 contains an insecure file permissions vulnerability that allows unprivileged users to escalate privileges by modifying executable files. Attackers can exploit world-writable permissions on the ZKTimeNet3.0 directory and its contents to replace executable files with malicious binaries for privilege escalation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS