Katalog CVE

CVE-2016-20028

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

ZKTeco ZKBioSecurity 3.0 zawiera podatność typu cross-site request forgery, która pozwala atakującym na wykonywanie działań administracyjnych poprzez oszukiwanie zalogowanych użytkowników, aby odwiedzili złośliwe strony internetowe. Atakujący mogą tworzyć żądania HTTP, które dodają konta superadmina bez weryfikacji, co umożliwia nieautoryzowany dostęp administracyjny.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym uzyskanie pełnych uprawnień administracyjnych bez odpowiednich zabezpieczeń. Może to prowadzić do nieautoryzowanego dostępu do wrażliwych danych i systemów.

Rekomendacja

Zaleca się aktualizację ZKTeco ZKBioSecurity do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto wdrożyć mechanizmy ochrony przed CSRF, aby zminimalizować ryzyko tego typu ataków.

Oryginalny opis (angielski, źródło NVD)

ZKTeco ZKBioSecurity 3.0 contains a cross-site request forgery vulnerability that allows attackers to perform administrative actions by tricking logged-in users into visiting malicious websites. Attackers can craft HTTP requests that add superadmin accounts without validity checks, enabling unauthorized administrative access when authenticated users visit attacker-controlled pages.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS