CVE-2016-20026
KrytyczneCVSS 9.8Streszczenie
ZKTeco ZKBioSecurity 3.0 zawiera wbudowane dane uwierzytelniające w dołączonym serwerze Apache Tomcat, co umożliwia nieautoryzowanym atakującym dostęp do aplikacji menedżera. Atakujący mogą uwierzytelnić się za pomocą wbudowanych danych w pliku tomcat-users.xml, aby przesyłać złośliwe archiwa WAR zawierające aplikacje JSP i wykonywać dowolny kod z uprawnieniami SYSTEM.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości zdalnego wykonania kodu przez atakujących, co może prowadzić do przejęcia kontroli nad systemem i wycieku danych. Wykorzystanie tej podatności może skutkować poważnymi konsekwencjami dla bezpieczeństwa i integralności systemu.
Rekomendacja
Zaleca się usunięcie wbudowanych danych uwierzytelniających oraz zabezpieczenie dostępu do aplikacji menedżera Tomcat. Należy również przeprowadzić audyt bezpieczeństwa i zaktualizować system do najnowszej wersji, aby zminimalizować ryzyko.
Oryginalny opis (angielski, źródło NVD)
ZKTeco ZKBioSecurity 3.0 contains hardcoded credentials in the bundled Apache Tomcat server that allow unauthenticated attackers to access the manager application. Attackers can authenticate with hardcoded credentials stored in tomcat-users.xml to upload malicious WAR archives containing JSP applications and execute arbitrary code with SYSTEM privileges.

