Referencia directa insegura a objetos en ZEM800 de ZKTeco
INCIBE-2023-0370
ZEM800, versión de firmware 6.60.
INCIBE ha coordinado la publicación de 1 vulnerabilidad que afecta a ZEM800 de ZKTeco, un dispositivo de seguridad para el control de acceso y de fichaje, la cual ha sido descubierta por David Utón Amaya, del equipo de Telefónica Tech.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y tipo de vulnerabilidad CWE:
- CVE-2023-4587: CVSS v3.1: 8,3 | CVSS: AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | CWE-639.
La gama se ha actualizado y se recomienda actualizar a la última versión disponible. Por otra parte, el producto se encuentra en el fin de ciclo de su vida útil.
CVE-2023-4587: se ha encontrado una vulnerabilidad IDOR en el producto ZKTeco ZEM800 que afecta a la versión 6.60. Esta vulnerabilidad permite a un atacante local obtener archivos de copia de seguridad de usuarios registrados o archivos de configuración del dispositivo a través de una red local o a través de un servidor VPN.
