CVE-2016-20024
KrytyczneCVSS 9.8Streszczenie
ZKTeco ZKTime.Net w wersji 3.0.1.6 zawiera podatność na niebezpieczne uprawnienia plików, która pozwala nieuprzywilejowanym użytkownikom na eskalację uprawnień poprzez modyfikację plików wykonywalnych. Atakujący mogą wykorzystać uprawnienia do zapisu dla wszystkich w katalogu ZKTimeNet3.0 oraz jego zawartości, aby zastąpić pliki wykonywalne złośliwymi binariami.
Ocena ryzyka
Podatność ta stwarza ryzyko eskalacji uprawnień, co może prowadzić do nieautoryzowanego dostępu do systemu i jego zasobów. Organizacja może być narażona na poważne zagrożenia związane z bezpieczeństwem danych.
Rekomendacja
Zaleca się przegląd i dostosowanie uprawnień do plików w katalogu ZKTimeNet3.0, aby uniemożliwić nieautoryzowanym użytkownikom modyfikację plików wykonywalnych. Należy również przeprowadzić audyt bezpieczeństwa systemu w celu identyfikacji i usunięcia potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
ZKTeco ZKTime.Net 3.0.1.6 contains an insecure file permissions vulnerability that allows unprivileged users to escalate privileges by modifying executable files. Attackers can exploit world-writable permissions on the ZKTimeNet3.0 directory and its contents to replace executable files with malicious binaries for privilege escalation.

