CRITICAL🇬🇧 English

CVE-2024-36526

ZKTeco ZKBio CVSecurity — hardcoded klucz kryptograficzny

CVSS 9.8v3.1pub. 2024-07-09upd. 2025-06-17

W aplikacji ZKTeco ZKBio CVSecurity v6.1.1 odkryto zahardkodowany klucz kryptograficzny (CWE-259). Podatność jest krytyczna, ponieważ umożliwia atakującemu zdalnemu, bez uwierzytelnienia, pełne naruszenie poufności, integralności i dostępności systemu.

Pokaż oryginał (EN)

ZKTeco ZKBio CVSecurity v6.1.1 was discovered to contain a hardcoded cryptographic key.

🤖 Analiza AI
Jak działa

Producent umieścił stały klucz kryptograficzny bezpośrednio w kodzie aplikacji. Atakujący, który uzyska dostęp do plików binarnych lub kodu aplikacji, może odczytać ten klucz i wykorzystać go do odszyfrowania chronionych danych, podpisywania fałszywych tokenów lub ominięcia mechanizmów uwierzytelniania. Ponieważ klucz jest identyczny we wszystkich instalacjach produktu, skuteczny atak na jedną instalację daje narzędzia do ataku na każdą inną.

Skutki

Atakujący może uzyskać pełen dostęp do chronionych danych systemu, naruszyć integralność danych lub pozbawić system dostępności — bez konieczności posiadania jakichkolwiek poświadczeń.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Producent udostępnia pliki instalacyjne pod adresem https://zkteco.eu/downloads/zkbio-cvsecurity-installation-files. Do czasu aktualizacji należy ograniczyć dostęp sieciowy do systemu wyłącznie do zaufanych hostów.

Kogo dotyczy

ZKTeco ZKBio CVSecurity v6.1.1

Uwagi

Szczegóły techniczne podatności zostały opublikowane przez badacza mrojz w repozytorium GitHub: https://github.com/mrojz/ZKT-Bio-CVSecurity/blob/main/CVE-2024-36526.md. Publiczna dostępność szczegółów zwiększa ryzyko wykorzystania podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Zkteco Zkbio Cvsecurity

    APP
    Zkteco
    6.1.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-35431HIGH7.5ten sam produkt

ZKTeco ZKBio CVSecurity 6.1.1 is vulnerable to Directory Traversal via photoBase64. An unauthenticated user ca...

CVE-2024-35430HIGH8.1ten sam produkt

In ZKTeco ZKBio CVSecurity v6.1.1_R and earlier (fixed in 6.1.3_R) an authenticated user can bypass password c...

CVE-2024-35428HIGH7.1ten sam produkt

ZKTeco ZKBio CVSecurity 6.1.1 is vulnerable to Directory Traversal via BaseMediaFile. An authenticated user ca...

CVE-2024-35433HIGH8.1ten sam produkt

ZKTeco ZKBio CVSecurity 6.1.1 is vulnerable to Incorrect Access Control. An authenticated user, without the pe...

CVE-2025-45746MEDIUM6.5ten sam produkt

In ZKT ZKBio CVSecurity 6.4.1_R an unauthenticated attacker can craft JWT token using the hardcoded secret to ...

CVE-2024-36526 — ZKTeco ZKBio CVSecurity — hardcoded klucz kryptograficzny — CRITICAL 9.8 | CVEbaza.pl