anonhaven

CVE-2016-20030

CRITICAL CVSS 4.0: 9,3 EPSS 0.04%
Обновлено 16 марта 2026
ZKTeco
Параметр Значение
CVSS 9,3 (CRITICAL)
Тип уязвимости CWE-551
Поставщик ZKTeco
Публичный эксплойт Да

ZKTeco ZKBioSecurity 3.0 содержит уязвимость перечисления пользователей, которая позволяет неаутентифицированным злоумышленникам обнаруживать действительные имена пользователей, отправляя частичные символы через параметр имени пользователя. Злоумышленники могут отправлять запросы к сценарию authLoginAction!login.do с различными входными именами пользователей для перечисления действительных учетных записей пользователей на основе ответов приложения.

Показать оригинальное описание (EN)

ZKTeco ZKBioSecurity 3.0 contains a user enumeration vulnerability that allows unauthenticated attackers to discover valid usernames by submitting partial characters via the username parameter. Attackers can send requests to the authLoginAction!login.do script with varying username inputs to enumerate valid user accounts based on application responses.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-551

Ссылки 4

https://exchange.xforce.ibmcloud.com/vulnerabilities/116485
disclosure@vulncheck.com
https://packetstormsecurity.com/files/138573
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/zkteco-zkbiosecurity-user-enumeration-via-…
disclosure@vulncheck.com
https://www.zeroscience.mk/en/vulnerabilities/ZSL-2016-5366.php
disclosure@vulncheck.com
Share Post Share Share Share