一、 漏洞 CVE-2023-38950 基础信息
漏洞信息
                                        # N/A

## 概述
ZKTeco BioTime v8.5.5 的 iclock API 存在路径遍历漏洞,允许未认证的攻击者通过提供特制的负载来读取任意文件。

## 影响版本
- ZKTeco BioTime v8.5.5

## 细节
攻击者可以通过向 iclock API 发送特制的负载来利用此路径遍历漏洞,从而读取系统上的任意文件内容。

## 影响
该漏洞允许未认证的攻击者未经授权访问敏感文件,可能泄露系统配置文件、认证信息等关键数据,从而引发进一步的安全问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A path traversal vulnerability in the iclock API of ZKTeco BioTime v8.5.5 allows unauthenticated attackers to read arbitrary files via supplying a crafted payload.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Zkteco BioTime 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Zkteco BioTime是中国Zkteco公司的一款功能强大的基于 web 的时间和出勤管理软件。 ZKTeco BioTime v8.5.5版本存在路径遍历漏洞,该漏洞源于允许未经身份验证的攻击者通过提供精心设计的有效负载来读取任意文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-38950 的公开POC
# POC 描述 源链接 神龙链接
1 A path traversal vulnerability in the iclock API of ZKTeco BioTime v8.5.5 allows unauthenticated attackers to read arbitrary files via supplying a crafted payload. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2023/CVE-2023-38950.yaml POC详情
三、漏洞 CVE-2023-38950 的情报信息