Plataforma
go
Componente
github.com/tobychui/zoraxy
Corregido en
3.3.3
3.3.2
Se ha descubierto una vulnerabilidad de ejecución remota de código (RCE) en Zoraxy, una aplicación escrita en Go. Esta vulnerabilidad, presente en versiones anteriores a la 3.3.2, permite a usuarios autenticados escribir archivos arbitrarios fuera del directorio de configuración, lo que podría conducir a la ejecución de código malicioso mediante la creación de un plugin. La vulnerabilidad se encuentra en el endpoint de importación de configuración (POST /api/conf/import).
Un atacante autenticado puede explotar esta vulnerabilidad para escribir archivos arbitrarios en el sistema. Al manipular los nombres de los archivos dentro de un archivo ZIP importado, un atacante puede eludir la sanitización implementada y escribir archivos fuera del directorio de configuración previsto. Esto permite la creación de un plugin malicioso, que, al ser cargado por Zoraxy, podría ejecutar código arbitrario en el servidor. El impacto potencial incluye la toma de control del servidor, robo de datos confidenciales y la ejecución de comandos maliciosos con los privilegios del usuario de Zoraxy.
Esta vulnerabilidad ha sido publicada el 2026-03-25. No se ha añadido a KEV en este momento. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (RCE) la convierte en un objetivo atractivo para los atacantes. La descripción de la vulnerabilidad detalla cómo se puede eludir la sanitización, lo que facilita la creación de un PoC.
Organizations utilizing Zoraxy for configuration management, particularly those with custom plugins or integrations, are at risk. Shared hosting environments where multiple users have authenticated access to the Zoraxy instance are also particularly vulnerable, as a compromised user account could be leveraged to exploit this vulnerability.
• linux / server:
find /opt/zoraxy/config -type f -name '*passwd*'• linux / server:
journalctl -u zoraxy -g "path traversal"• generic web:
curl -I http://your-zoraxy-instance/api/conf/import | grep -i 'content-type: multipart/form-data'disclosure
Estado del Exploit
EPSS
0.05% (17% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 3.3.2 de Zoraxy, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al endpoint /api/conf/import solo a usuarios de confianza. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes con nombres de archivo ZIP que contengan secuencias de ../ puede proporcionar una capa adicional de protección. Monitorear los logs del sistema en busca de intentos de importación de archivos con nombres sospechosos también puede ayudar a detectar y prevenir ataques.
Actualice Zoraxy a la versión 3.3.2 o superior. Esta versión corrige la vulnerabilidad de recorrido de ruta que permite la ejecución remota de código. La actualización se puede realizar descargando la nueva versión desde el repositorio oficial y reemplazando los archivos existentes.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33529 is a Remote Code Execution vulnerability in Zoraxy versions prior to 3.3.2. An authenticated user can exploit path traversal during configuration import to write arbitrary files, potentially leading to RCE.
You are affected if you are running Zoraxy versions 3.3.1 or earlier and utilize the configuration import functionality. Upgrade to 3.3.2 or later to mitigate the risk.
Upgrade Zoraxy to version 3.3.2 or later. As a temporary workaround, restrict write access to the configuration directory and implement strict input validation.
There is currently no evidence of active exploitation in the wild, but the potential for RCE remains a significant concern.
Refer to the Zoraxy project's official repository and release notes for the advisory and detailed information regarding the fix: [https://github.com/tobychui/zoraxy](https://github.com/tobychui/zoraxy)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.