漏洞标题
Kaifa Technology WebITR - 固件加密钥
漏洞描述信息
Kaifa Technology WebITR 是一种在线考勤系统,它使用硬编码的加密密钥存在一个漏洞。未授权的远程攻击者可以生成有效的令牌参数并利用此漏洞访问包括管理员帐户在内的任意用户帐户,执行登录帐户的权限,并获取相关信息。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
使用硬编码的凭证
漏洞标题
Kaifa Technology WebITR - Hard-coded Cryptographic Key
漏洞描述信息
Kaifa Technology WebITR is an online attendance system, it has a vulnerability in using hard-coded encryption key. An unauthenticated remote attacker can generate valid token parameter and exploit this vulnerability to access system with arbitrary user account, including administrator’s account, to execute login account’s permissions, and obtain relevant information.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
使用硬编码的密码学密钥
漏洞标题
WebITR 信任管理问题漏洞
漏洞描述信息
WebITR是一款在线考勤系统。 WebITR 2_1_0_23版本存在信任管理问题漏洞,该漏洞源于使用硬编码加密密钥,远程攻击者利用该漏洞可以生成有效的token参数,以任意用户帐户访问系统,执行登录帐户的权限,并获取相关信息。
CVSS信息
N/A
漏洞类别
信任管理问题