首页> 服务支持 > 安全中心 > 安全公告 >Webserver3.0任务发布说明

Webserver3.0任务发布说明


近日,有用户反馈熵基科技部分产品的WebServer3.0功能存在部分文件能被绕过管理员权限后下载、账号密码存在弱口令和存在未授权能访问任务问题,详细情况如下:

一、任务说明

1、WebServer3.0功能原本的设计是必须要登录账号和密码才能正常使用,但由于代码senssion管理机制实现上存在缺陷导致绕过了管理员权限,出现文件下载的风险和未授权能访问网页问题

2、WebServer3.0版本默认administrator账号密码为纯数字口令模式,未加入更高复杂度(数字+字母+符号)的口令,导致能通过暴力穷举方法破解账号密码。

二、影响范围

涉及产品包括但不限于下列型号:

uFace202、uFace302、uFace602、uFace401、uFace402、uFace800、FA1(电容屏)、FA2(电容屏)、G3、FaceID2(电容屏)、SFace900、PFace202、G3Plus、G3-H

三、触发条件

该风险仅在设备支持WEB功能页面可访问的条件下发生。

任务解决方案

该系列产品目前已经全部更新,建议更新升级

升级资料下载链接http://file.zkteco.com/uploads/file/20210809/290ddb6aa644a01b3bfaae37bd479dd5.zip

、后续改善计划

熵基科技会持续跟进该任务的最新动态有任何关于此次任务修复的问题,可以通过以下方式联系我们:

联系方式PSIRT@zkteco.com




本网站使用Cookie在您的设备上存储信息,Cookie可以增强您的用户体验 帮助我们的网站正常运行。
如需更多信息,请阅读我们的 Cookie政策隐私政策.

接受