Уязвимость BDU:2023-04432

Идентификатор: BDU:2023-04432.

Наименование уязвимости: Уязвимость интерфейса веб-платформы управления учетом рабочего времени BioTime, позволяющая нарушителю сбросить пароль администратора.

Описание уязвимости: Уязвимость интерфейса веб-платформы управления учетом рабочего времени BioTime связана с использованием опасных методов или функций. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, сбросить пароль администратора путем отправки специально созданного запроса
Уязвимое ПО: Средство АСУ ТП, Программное средство АСУ ТП ZKTECO CO., LTD BioTime 8.5.5 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 01.08.2023.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,3)

Возможные меры по устранению:
Компенсирующие меры:
— использование средств межсетевого экранирования;
— отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
— принудительная смена паролей пользователей;
— ограничение удаленного доступа к операционной системе недоверенных пользователей (SSH и проч.);
— ограничение доступа к командной строке для недоверенных пользователей;
— использование антивирусных средств защиты;
— мониторинг действий пользователей..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2023-38949.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://claroty.com/team82/disclosure-dashboard/cve-2023-38949