近日,发现熵基科技时间精细化管理平台存在逻辑缺陷漏洞问题,详细情况如下: 一、漏洞说明 通过E-ZKEco pro时间&安全精细化管理平台存在key信息泄露,导致可以利用key或者直接修改key值导致的未授权,垂直越权操作。 二、影响范围 使用员工自助登录,在已知道接口路径后,可进行越权访问。 三、漏洞定级 按照CVSS V3定义,此漏...
近日,发现熵基科技ZKTime时间精细化管理平台存在SQL注入漏洞问题,详细情况如下: 一、漏洞说明 通过IC消费异常记录表,如果传送的UserID参数输入包含SQL代码,那么这些代码将被执行,从而可能引发SQL注入攻击。 二、影响范围 攻击者可通过IC消费异常记录表,并增加相关SQL查询条件来获取非当前权限的数据内容,造成系统用户信息的...