详细内容或原文请订阅后点击阅览
安全软件 安全软件 安全软件 安全软件
数据库管理员必须使用 SQL 语句来管理数据库连接和数据库性能。
来源:安全实验室新闻频道攻击者可以使用SQL注入绕过授权并窃取数据。
卡巴斯基实验室在国际制造商中控智慧生物识别终端中发现了 24 个漏洞。攻击者可以利用这些漏洞绕过访问控制系统、物理进入安全区域、窃取生物识别数据、修改数据库以及安装后门。
已找到中控智慧生物识别阅读器广泛应用于世界各地的各种行业,包括核电站、工业厂房、办公室和医疗机构。它们支持四种身份验证方法:生物识别(使用面部识别)、密码、电子通行证和二维码。这些终端可以存储数千人的生物识别数据。所有发现的漏洞均由卡巴斯基实验室专家进行分组和注册,并将有关这些漏洞的信息转移给制造商。
其中一个漏洞 (CVE-2023-3938) 可用于获取对受限区域的物理访问权限。它与基于 SQL 注入进行网络攻击的可能性相关,这种攻击允许攻击者将恶意数据注入到二维码中。在处理此类请求时,系统会错误地将其识别为来自合法用户,从而允许对终端进行未经授权的访问,从而允许对受保护区域进行未经授权的访问。
CVE-2023-3938该公司表示,还有另一种可能欺骗系统。如果攻击者获得了设备数据库的访问权限,他就可以下载合法用户的照片,打印出来并用它来欺骗终端的摄像头。但是,要成功实施此方法,您必须禁用设备上的热传感器。
CVE-2023-3940 CVE-2023-3941 CVE-2023-3939 CVE-2023-3943