首页> 服务支持 > 安全中心 > 安全公告 >熵基科技关于ZKAccess5.0软件更新通告

熵基科技关于ZKAccess5.0软件更新通告

近日,发现熵基科技ZKAccess5.0门禁管理系统产品相关问题,详细情况如下:

一、问题说明

Struts2 dispatcher逻辑在设计上允许为请求URI提供web应用程序类路径中的某些静态资源,请求URI具有以“/struts/”开头的上下文相关路径。FilterDispatcher(在2.0中)和DefaultStaticContentLoader(在2.1中)存在一个安全漏洞,

二、影响范围

允许攻击者使用双编码URL和相对路径遍历目录结构并下载“静态”内容文件夹之外的文件。

三、规避方案

旧版本已下架,可通过升级到新版本解决。(具体版本以官网发布为准)

四、漏洞解决方案

1.旧版本已下架,可通过升级到新版本解决。(具体版本以官网发布为准)

2.软件包的下载链接是:https://www.zkteco.com/cn/download_catgory/45.html

五、后续改善计划

新版本软件采用Spring框架以及升级安全防护措辞,不存在些类问题。(具体版本以官网发布为准)


本网站使用Cookie在您的设备上存储信息,Cookie可以增强您的用户体验 帮助我们的网站正常运行。
如需更多信息,请阅读我们的 Cookie政策隐私政策.

接受