CVE-2016-20027
ŚrednieCVSS 6.1Streszczenie
ZKTeco ZKBioSecurity 3.0 zawiera wiele podatności na refleksyjny atak XSS, które pozwalają atakującym na wykonanie dowolnego kodu HTML i skryptów poprzez wstrzykiwanie złośliwych ładunków w niesanitizowanych parametrach w wielu skryptach.
Ocena ryzyka
Atakujący mogą stworzyć złośliwe adresy URL z ładunkami XSS w podatnych parametrach, co umożliwia wykonanie skryptów w sesji przeglądarki użytkownika w kontekście dotkniętej aplikacji.
Rekomendacja
Zaleca się przegląd i sanitizację wszystkich parametrów wejściowych w aplikacji oraz wdrożenie odpowiednich zabezpieczeń przed atakami XSS.
Oryginalny opis (angielski, źródło NVD)
ZKTeco ZKBioSecurity 3.0 contains multiple reflected cross-site scripting vulnerabilities that allow attackers to execute arbitrary HTML and script code by injecting malicious payloads through unsanitized parameters in multiple scripts. Attackers can craft malicious URLs with XSS payloads in vulnerable parameters to execute scripts in a user's browser session within the context of the affected application.

