Zkbio Cvsecurity
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.01
Распределение по критичности
Критический
2
Высокий
4
Средний
2
Низкий
0
Также сопоставлено как (исходные строки): zkbio_cvsecurity
Топ уязвимостей
CVE-2025-45746В ZKT ZKBio CVSecurity 6.4.1_R неаутентифицированный злоумышленник может создать JWT-токен, используя жестко заданный секрет, для аутентификации в консоли службы. Это позволяет злоумышленнику получить доступ к консоли службы [1].
Источники:
- [1] https://github.com/mrojz/ZKT-Bio-CVSecurity/blob/main/CVE-2025-45746.md
CVE-2024-36526В ZKTeco ZKBio CVSecurity v6.1.1 обнаружен жестко закодированный криптографический ключ.
CVE-2024-35433ZKTeco ZKBio CVSecurity 6.1.1 подвержен неправильному контролю доступа. Аутентифицированный пользователь, не обладая правами управления пользователями, может создать нового администратора.
CVE-2024-35430В ZKTeco ZKBio CVSecurity версии 6.1.1_R и ранее (исправлено в версии 6.1.3_R) аутентифицированный пользователь может обойти проверку пароля при экспорте данных из приложения. [1]
Источники:
- [1] https://github.com/mrojz/ZKT-Bio-CVSecurity/blob/main/CVE-2024-35430.md
- [2] https://www.zkteco.com/en/Security_Bulletinsibs/16
CVE-2024-35431ZKTeco ZKBio CVSecurity 6.1.1 уязвима к Path Traversal через photoBase64. Неаутентифицированный пользователь может загружать локальные файлы с сервера. Также сообщается, что другие версии до 6.4.1 также уязвимы [1].
Источники:
- [1] https://github.com/mrojz/ZKT-Bio-CVSecurity/blob/main/CVE-2024-35431.md
CVE-2024-35428ZKTeco ZKBio CVSecurity 6.1.1 подвержен уязвимости directory traversal через BaseMediaFile. Аутентифицированный пользователь может удалять локальные файлы с сервера, что может привести к DoS.
CVE-2024-35429ZKTeco ZKBio CVSecurity 6.1.1 подвержен уязвимости directory traversal через eventRecord.
CVE-2024-35432ZKTeco ZKBio CVSecurity 6.1.1 подвержен межсайтовому скриптингу (XSS) через аудиофайл. Аутентифицированный пользователь может внедрить вредоносный JavaScript-код для вызова межсайтового скриптинга.