Katalog CVE

CVE-2016-20030

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

ZKTeco ZKBioSecurity 3.0 zawiera podatność na enumerację użytkowników, która pozwala nieautoryzowanym atakującym na odkrycie ważnych nazw użytkowników poprzez przesyłanie częściowych znaków w parametrze nazwy użytkownika.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do identyfikacji ważnych kont użytkowników, co może prowadzić do dalszych ataków na system.

Rekomendacja

Zaleca się wprowadzenie mechanizmów ograniczających odpowiedzi aplikacji na nieprawidłowe dane logowania oraz monitorowanie prób logowania.

Oryginalny opis (angielski, źródło NVD)

ZKTeco ZKBioSecurity 3.0 contains a user enumeration vulnerability that allows unauthenticated attackers to discover valid usernames by submitting partial characters via the username parameter. Attackers can send requests to the authLoginAction!login.do script with varying username inputs to enumerate valid user accounts based on application responses.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS