CRITICAL🇬🇧 English

CVE-2023-7103

Pominięcie uwierzytelniania w ZKSoftware UFace 5 (Auth Bypass)

CVSS 9.8v3.1pub. 2024-03-05upd. 2026-05-20

Krytyczna podatność w urządzeniu biometrycznym ZKSoftware UFace 5 umożliwia całkowite pominięcie mechanizmu uwierzytelniania bez żadnych uprawnień ani interakcji użytkownika. Ze względu na sieciowy charakter ataku i brak wymaganych uprawnień, zagrożenie jest oceniane jako krytyczne (CVSS 9.8).

Pokaż oryginał (EN)

Authentication Bypass by Primary Weakness vulnerability in ZKSoftware Biometric Security Solutions UFace 5 allows Authentication Bypass. This issue affects UFace 5: through 12022024.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-305 (Authentication Bypass by Primary Weakness) wskazuje na fundamentalną słabość w głównym mechanizmie uwierzytelniania urządzenia. Atakujący zdalnie, przez sieć, bez konieczności posiadania jakichkolwiek danych uwierzytelniających, może ominąć proces weryfikacji tożsamości. Luka dotyczy wszystkich wersji oprogramowania UFace 5 do wersji 12022024 włącznie.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu uzyskać nieautoryzowany dostęp do urządzenia biometrycznego, co może skutkować naruszeniem poufności, integralności oraz dostępności systemu — w tym potencjalną manipulacją danymi biometrycznymi lub kontrolą dostępu fizycznego.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie komunikatów bezpieczeństwa opublikowanych przez USOM (TR-24-0173) oraz odizolowanie urządzeń UFace 5 od publicznej sieci do czasu zastosowania aktualizacji.

Kogo dotyczy

ZKSoftware Biometric Security Solutions UFace 5 — wszystkie wersje oprogramowania do 12022024 włącznie.

Uwagi

Podatność zgłoszona i opisana przez turecką jednostkę ds. cyberbezpieczeństwa USOM (Ulusal Siber Olaylara Müdahale Merkezi) w biuletynie TR-24-0173.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Zksoftware Uface 5

    APP
    Zksoftware
    ≤ 12022024
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje
CVE-2023-7103 — Pominięcie uwierzytelniania w ZKSoftware UFace 5 (Auth Bypass) — CRITICAL 9.8 | CVEbaza.pl