Vulnerabilidad en ZKTeco WL20 (CVE-2025-55279)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-798 Credenciales embebidas en el software

Fecha de publicación:

13/08/2025

Última modificación:

13/08/2025

Descripción

Esta vulnerabilidad existe en ZKTeco WL20 debido a una clave privada codificada de forma rígida, almacenada en texto plano dentro del firmware del dispositivo. Un atacante con acceso físico podría explotar esta vulnerabilidad extrayendo el firmware y analizando los datos binarios para recuperar la clave privada almacenada en el firmware del dispositivo objetivo. La explotación exitosa de esta vulnerabilidad podría permitir al atacante realizar el descifrado no autorizado de datos confidenciales y ataques Man-in-the-Middle (MitM) en el dispositivo objetivo.

Impacto

Vector 4.0

CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.90 MEDIA
Vector: CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N

Vector de acceso (AV): Físico
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Bajo
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

6.90

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://www.cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES01&VLCODE=CIVN-2025-0172