Résumé
Le 19 mai 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a signalé une faille de sécurité dans l’API iclock de ZKTeco BioTime version 8.5.5. ZKTeco BioTime est un logiciel de gestion du temps et des présences basées sur le web.
Référencée sous CVE-2023-38950, cette vulnérabilité de type path traversal permet à un attaquant non authentifié d’accéder à des fichiers arbitraires sur le serveur en manipulant le chemin d’accès dans les requêtes, contournant ainsi les restrictions d’accès.
Solutions
Il est recommandé d’appliquer rapidement les mises à jour de sécurité fournies par ZKTeco pour corriger cette faille.
La faille est activement exploitée : Oui
Details techniques
Score CVSS : 7.5
Risques : Fuite de données sensibles
Systèmes affectés
- Les installations utilisant ZKTeco BioTime version 8.5.5 et antérieures.
Documentation
- Bulletin de sécurité de ZKTeco
https://www.zkteco.com/en/Security_Bulletinsibs - Nist Details CVE
https://nvd.nist.gov/vuln/detail/CVE-2023-38950 - CVE Details
https://www.cvedetails.com/cve/CVE-2023-38950/ - Reference CVE
https://www.cve.org/CVERecord?id=CVE-2023-38950 - CWE
https://cwe.mitre.org/data/definitions/22