熵基科技关于时间管理精细化管理平台存在任意文件下载漏洞问题的通告

2023-08-04

熵基科技关于时间管理精细化管理平台存在任意文件下载漏洞问题的通告

近日，发现时间管理精细化管理平台产品任意文件下载漏洞问题，详细情况如下：

一、漏洞说明

时间精细化管理平台存在任意文件下载漏洞，在知道系统或服务器文件存储路径的情况下通过修改文件下载路径能够获取到服务器里面任意文件。

二、影响范围

E-ZKEco Pro V11.1（Build:20200720.3）和ZKTimeV11.1（Build:20200720.3）之前的版本存在此问题。

三、漏洞定级

按照CVSSV3定义，此漏洞等级为“高”

四、漏洞规避方案

升级到最新版本。

五、漏洞解决方案

1、已完成上述任务规避方案，并发布新版本E-ZKEco Pro V11.1（Build:20200720.3）和ZKTimeV11.1（Build:20200720.3）

2、提供时间管理精细化管理平台存在任意文件下载漏洞补丁升级包，通过工具升级,具体可联系分公司技术。

3、软件最新版本安装包通过官网下载。

六、后续改善计划

无