CRITICAL🇬🇧 English

CVE-2016-20030

ZKTeco ZKBioSecurity 3.0 — enumeracja użytkowników bez uwierzytelnienia

CVSS 9.3v4.0pub. 2026-03-16upd. 2026-06-08

ZKTeco ZKBioSecurity 3.0 zawiera podatność umożliwiającą nieuwierzytelnionym atakującym odkrycie prawidłowych nazw użytkowników poprzez analizę odpowiedzi aplikacji na częściowo podane dane wejściowe. Stanowi to poważne zagrożenie, gdyż umożliwia przygotowanie ukierunkowanych ataków na konta użytkowników systemu kontroli dostępu.

Pokaż oryginał (EN)

ZKTeco ZKBioSecurity 3.0 contains a user enumeration vulnerability that allows unauthenticated attackers to discover valid usernames by submitting partial characters via the username parameter. Attackers can send requests to the authLoginAction!login.do script with varying username inputs to enumerate valid user accounts based on application responses.

🤖 Analiza AI
Jak działa

Atakujący wysyła żądania HTTP do skryptu authLoginAction!login.do, podając w parametrze username różne częściowe ciągi znaków. Aplikacja zwraca różne odpowiedzi w zależności od tego, czy podany fragment nazwy odpowiada istniejącemu kontu użytkownika. Na podstawie analizy tych różnic w odpowiedziach możliwe jest systematyczne wykrycie i potwierdzenie prawidłowych nazw kont bez konieczności posiadania jakiegokolwiek uwierzytelnienia.

Skutki

Atakujący jest w stanie zidentyfikować listę prawidłowych nazw użytkowników systemu ZKBioSecurity, co może zostać wykorzystane jako punkt wyjścia do dalszych ataków, takich jak ataki słownikowe lub brute-force na hasła tych kont.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu do interfejsu webowego aplikacji wyłącznie do zaufanych sieci oraz wdrożenie mechanizmów monitorowania i blokowania podejrzanej liczby żądań do endpointu authLoginAction!login.do.

Kogo dotyczy

ZKTeco ZKBioSecurity w wersji 3.0

Uwagi

Podatność została pierwotnie ujawniona w 2016 roku (referencje wskazują na zasoby z roku 2016, w tym zeroscience.mk ZSL-2016-5366 oraz packetstormsecurity.com z 2016 r.), natomiast formalne oznaczenie CVE zostało opublikowane w 2026 roku.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje