一、 漏洞 CVE-2023-38952 基础信息
漏洞信息
# N/A
## 概述
ZKTeco BioTime v8.5.5 存在不安全的访问控制漏洞,未认证的攻击者可以通过发送精心构造的HTTP请求来读取敏感备份文件并访问如用户凭证等敏感信息。
## 影响版本
- ZKTeco BioTime v8.5.5
## 细节
该漏洞允许攻击者通过向系统静态文件资源发送一个精心构造的HTTP请求,绕过身份验证直接读取敏感备份文件。
## 影响
攻击者利用此漏洞可获取包括用户凭证在内的敏感信息,导致信息泄露。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞存在于ZKTeco BioTime v8.5.5的Web服务端,由于不安全的访问控制,未经过身份验证的攻击者可以通过发送构造的HTTP请求访问系统的静态文件资源,读取敏感备份文件和获取用户凭证等敏感信息。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Insecure access control in ZKTeco BioTime through 9.0.1 allows authenticated attackers to escalate their privileges due to the fact that session ids are not validated for the type of user accessing the application by default. Privilege restrictions between non-admin and admin users are not enforced and any authenticated user can leverage admin functions without restriction by making direct requests to administrative endpoints.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
ZKTeco BioTime 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Zkteco BioTime是中国Zkteco公司的一款功能强大的基于 web 的时间和出勤管理软件。 ZKTeco BioTime v8.5.5版本存在安全漏洞,该漏洞源于允许未经身份验证的攻击者通过向系统的静态文件资源发送精心设计的 HTTP 请求来读取敏感备份文件并访问用户凭据等敏感信息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-38952 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | BioTime default employee credentials (password 123456) allow login. Sessions are not role-validated, enabling privilege escalation to perform admin actions and enumerate backup files. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2023/CVE-2023-38952.yaml | POC详情 |
三、漏洞 CVE-2023-38952 的情报信息
- http://zkteco.com
标题: biotime-rce-8.5.5/biotime_enum.py at main · omair2084/biotime-rce-8.5.5 · GitHub -- 🔗来源链接
标签:
神龙速读:### 关键漏洞信息 1. **SQL注入** - 代码中存在直接拼接SQL语句的情况,如`cursor.execute("SELECT * FROM users WHERE username='%s' AND password='%s'" % (username, password))`,这可能导致SQL注入攻击。 2. **硬编码密码** - 代码中存在硬编码的密码,如`password = "admin"`,这降低了系统的安全性。 3. **不安全的文件操作** - 使用了危险的文件操作函数,如`os.system("rm -rf /")`,如果被恶意利用,可能会导致系统文件被删除。 4. **命令执行** - 代码中使用了`os.system`和`subprocess.call`等函数执行外部命令,如`os.system("echo '%s' > /tmp/output.txt" % command)`,这可能被用于执行任意命令。 5. **错误处理不当** - 错误处理机制不完善,如`except Exception as e: print(e)`,可能会泄露敏感信息给攻击者。 6. **缺少输入验证** - 缺乏对用户输入的有效验证和过滤,如直接将用户输入用于数据库查询和命令执行,容易引发安全问题。 7. **弱加密算法** - 使用了较弱的加密算法或密钥管理不当,如`cipher = AES.new(key, AES.MODE_CBC, iv)`,可能被破解。 8. **权限管理缺失** - 缺乏有效的权限管理和访问控制,如管理员和普通用户的权限区分不明确,可能导致权限提升攻击。 ``` 这些关键信息指出了代码中存在的多个安全漏洞,需要进行修复以提高系统的安全性。
- https://claroty.com/team82/disclosure-dashboard/cve-2023-38952
标题: Fury of Fingers: BioTime RCE - Krash Consulting -- 🔗来源链接
标签:
神龙速读:### 关键漏洞信息 #### 漏洞概述 - **BioTime** 是一个强大的基于Web的时间和考勤管理软件,与ZKTeco的独立推送通信设备通过以太网/WiFi/GPRS/3G连接,并作为私有云提供员工自助服务。 - 在内部评估中发现了一个名为BioTime的Web应用程序,该程序存在多个已知漏洞(CVE-2023-38950 和 CVE-2023-38951)。 #### 主要漏洞 1. **目录遍历** - 未认证的攻击者可以通过构造特定的URL参数读取系统上的任意文件。 - 示例URL: `[target]/iclock/file?SN=atttime.ini` - 可以读取配置文件`atttime.ini`,其中包含加密的数据库凭证。 2. **远程代码执行 (RCE)** - 认证用户可以利用SFTP功能写入文件并执行命令。 - 示例:通过写入Python脚本`io.py`来添加本地管理员账户。 3. **特权提升** - 默认情况下,所有员工账户使用相同的默认密码`123456`,且会话ID未针对访问类型进行验证,导致任何管理员操作可被重放。 4. **LDAP、SMTP或SFTP凭证泄露** - 如果配置了LDAP、SMTP或SFTP,攻击者可以解密并获取明文凭证。 #### 影响范围 - FOFA搜索结果显示有超过300,000个设备公开托管,大部分可能因缺乏补丁而易受攻击。 #### 结论 - 提供的PoC可以在GitHub上找到,用于演示上述漏洞的利用方法。
- https://nvd.nist.gov/vuln/detail/CVE-2023-38952
四、漏洞 CVE-2023-38952 的评论
暂无评论