ZKTeco ZKTime.Net 3.0.1.6 содержит уязвимость небезопасных файловых разрешений, которая позволяет непривилегированным пользователям изменят…
ZKTeco ZKTime.Net 3.0.1.6 содержит уязвимость небезопасных файловых разрешений, которая позволяет непривилегированным пользователям изменять исполняемые файлы. Злоумышленники могут использовать разрешений, написаемые в мире в каталоге ZKTimeNet3.0 и его содержимом, чтобы заменить исполняемые файлы вредоносными двоичными файлами для эскалации привилегий.
Продукт помещает конфиденциальные сведения в файлы или каталоги, доступные для субъектов, которые имеют право на доступ к файлам, но не к конфиденциальным сведениям.
https://cwe.mitre.org/data/definitions/538.html →Открыть в коллекции CWE →Данная атака направлена против WSDL-интерфейса, предоставляемого веб-сервисом. Злоумышленник может сканировать WSDL-интерфейс для получения конфиденциальной информации о шаблонах вызовов, особенностях технической реализации и связанных уязвимостях. Подобное зондирование проводится для подготовки более серьёзных атак (например, манипуляции параметрами, внедрения вредоносного содержимого, внедрения команд и др.). WSDL-файлы содержат подробные сведения о портах и привязках сервиса, доступных потребителям. Например, злоумышленник может передать веб-сервису специальные символы или вредоносное содержимое и вызвать отказ в обслуживании или несанкционированный доступ к записям базы данных. Кроме того, злоумышленник может попытаться угадать другие закрытые методы, используя сведения из WSDL-файлов.
https://capec.mitre.org/data/definitions/95.html →Открыть в коллекции CAPEC →