Уязвимость BDU:2023-04431

Идентификатор: BDU:2023-04431.

Наименование уязвимости: Уязвимость реализации протокола SFTP (Secure File Transfer Protocol) веб-платформы управления учетом рабочего времени BioTime, позволяющая нарушителю записывать произвольные файлы.

Описание уязвимости: Уязвимость реализации протокола SFTP (Secure File Transfer Protocol) веб-платформы управления учетом рабочего времени BioTime связана с ошибками в обработке относительного пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записывать произвольные файлы
Уязвимое ПО: Средство АСУ ТП, Программное средство АСУ ТП ZKTECO CO., LTD BioTime 8.5.5 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 01.08.2023.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,7)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,4)

Возможные меры по устранению:
Компенсирующие меры:
— использование средств межсетевого экранирования;
— отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
— принудительная смена паролей пользователей;
— ограничение удаленного доступа к операционной системе недоверенных пользователей (SSH и проч.);
— ограничение доступа к командной строке для недоверенных пользователей;
— использование антивирусных средств защиты;
— мониторинг действий пользователей..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2023-38951.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://claroty.com/team82/disclosure-dashboard/cve-2023-38951