CVE-2022-42953
CVE-2022-42953
Em resumo
Dispositivos de ponto eletrônico ZKTeco expõem informações sensíveis através de URLs web específicas que não exigem autenticação adequada. Um atacante pode acessar diretamente essas URLs para recuperar dados confidenciais sem fazer login.
Detalhe técnico
Vulnerabilidade CWE-425 (Direct Request) em dispositivos biométricos ZKTeco permite acesso não autenticado a informações sensíveis via endpoints form/DataApp com parâmetros de estilo. O ataque requer acesso à rede da interface web do dispositivo; a exploração bem-sucedida recupera dados confidenciais sem autenticação.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Certain ZKTeco products (ZEM500-510-560-760, ZEM600-800, ZEM720, ZMM) allow access to sensitive information via direct requests for the form/DataApp?style=1 and form/DataApp?style=0 URLs. The affected versions may be before 8.88 (ZEM500-510-560-760, ZEM600-800, ZEM720) and 15.00 (ZMM200-220-210). The fixed versions are firmware version 8.88 (ZEM500-510-560-760, ZEM600-800, ZEM720) and firmware version 15.00 (ZMM200-220-210).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
n/a · n/aPoCs públicas encontradas — 1
exploitdbwww.exploit-db.com/exploits/51112não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →