ZKTeco ZKTime.Net 3.0.1.6 содержит уязвимость небезопасных прав доступа к файлам, которая позволяет непривилегированным пользователям повышать привилегии путем изменения исполняемых файлов. Злоумышленники могут использовать разрешения на запись для всех пользователей в каталоге ZKTimeNet3.0 и его содержимом, чтобы заменить исполняемые файлы вредоносными двоичными файлами для повышения привилегий.
Показать оригинальное описание (EN)
ZKTeco ZKTime.Net 3.0.1.6 contains an insecure file permissions vulnerability that allows unprivileged users to escalate privileges by modifying executable files. Attackers can exploit world-writable permissions on the ZKTimeNet3.0 directory and its contents to replace executable files with malicious binaries for privilege escalation.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 6
https://cxsecurity.com/issue/WLB-2016080264
disclosure@vulncheck.com
https://exchange.xforce.ibmcloud.com/vulnerabilities/116487
disclosure@vulncheck.com
https://packetstormsecurity.com/files/138565
disclosure@vulncheck.com
https://www.exploit-db.com/exploits/40322/
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/zkteco-zktime-net-insecure-file-permission…
disclosure@vulncheck.com
https://www.zeroscience.mk/en/vulnerabilities/ZSL-2016-5360.php
disclosure@vulncheck.com