CVE-2016-20030
KrytyczneCVSS 9.8Streszczenie
ZKTeco ZKBioSecurity 3.0 zawiera podatność na enumerację użytkowników, która pozwala nieautoryzowanym atakującym na odkrycie ważnych nazw użytkowników poprzez przesyłanie częściowych znaków w parametrze nazwy użytkownika.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do identyfikacji ważnych kont użytkowników, co może prowadzić do dalszych ataków na system.
Rekomendacja
Zaleca się wprowadzenie mechanizmów ograniczających odpowiedzi aplikacji na nieprawidłowe dane logowania oraz monitorowanie prób logowania.
Oryginalny opis (angielski, źródło NVD)
ZKTeco ZKBioSecurity 3.0 contains a user enumeration vulnerability that allows unauthenticated attackers to discover valid usernames by submitting partial characters via the username parameter. Attackers can send requests to the authLoginAction!login.do script with varying username inputs to enumerate valid user accounts based on application responses.

