Plateforme
go
Composant
github.com/tobychui/zoraxy
Corrigé dans
3.3.3
3.3.2
Une vulnérabilité de parcours de chemin à distance (RCE) a été découverte dans zoraxy, une application écrite en Go. Cette faille, présente dans les versions antérieures à 3.3.2, permet à un utilisateur authentifié d'écrire des fichiers arbitraires en contournant la validation des noms de fichiers lors de l'importation de configuration. L'exploitation réussie peut permettre l'exécution de code arbitraire sur le système, compromettant potentiellement la confidentialité et l'intégrité des données.
L'impact de cette vulnérabilité est significatif car elle permet l'exécution de code à distance. Un attaquant authentifié peut exploiter cette faille pour écrire un fichier malveillant, tel qu'un script Python, dans un emplacement accessible et l'exécuter, obtenant ainsi un contrôle sur le serveur. La surface d'attaque est limitée aux utilisateurs authentifiés, mais la compromission d'un seul compte peut suffire à compromettre l'ensemble du système. Cette vulnérabilité rappelle les attaques par injection de code qui exploitent des faiblesses dans le traitement des entrées utilisateur.
Cette vulnérabilité a été rendue publique le 2026-03-25. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la simplicité de l'exploitation et la disponibilité d'un POC potentiel pourraient conduire à une exploitation rapide. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nécessité d'une authentification préalable.
Organizations utilizing Zoraxy for configuration management, particularly those with custom plugins or integrations, are at risk. Shared hosting environments where multiple users have authenticated access to the Zoraxy instance are also particularly vulnerable, as a compromised user account could be leveraged to exploit this vulnerability.
• linux / server:
find /opt/zoraxy/config -type f -name '*passwd*'• linux / server:
journalctl -u zoraxy -g "path traversal"• generic web:
curl -I http://your-zoraxy-instance/api/conf/import | grep -i 'content-type: multipart/form-data'disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 17%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour zoraxy vers la version 3.3.2 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une mesure temporaire consiste à restreindre l'accès au point de terminaison /api/conf/import aux seuls utilisateurs de confiance. Il est également recommandé de mettre en œuvre une validation stricte des entrées, en particulier des noms de fichiers, pour empêcher l'injection de caractères de parcours de chemin. Vérifiez après la mise à jour que l'importation de configuration ne permet pas l'écriture de fichiers en dehors du répertoire de configuration prévu.
Actualisez Zoraxy à la version 3.3.2 ou supérieure. Cette version corrige la vulnérabilité de path traversal qui permet l'exécution remorte de code. La mise à jour peut être effectuée en téléchargeant la nouvelle version depuis le référentiel officiel et en remplaçant les fichiers existants.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33529 is a Remote Code Execution vulnerability in Zoraxy versions prior to 3.3.2. An authenticated user can exploit path traversal during configuration import to write arbitrary files, potentially leading to RCE.
You are affected if you are running Zoraxy versions 3.3.1 or earlier and utilize the configuration import functionality. Upgrade to 3.3.2 or later to mitigate the risk.
Upgrade Zoraxy to version 3.3.2 or later. As a temporary workaround, restrict write access to the configuration directory and implement strict input validation.
There is currently no evidence of active exploitation in the wild, but the potential for RCE remains a significant concern.
Refer to the Zoraxy project's official repository and release notes for the advisory and detailed information regarding the fix: [https://github.com/tobychui/zoraxy](https://github.com/tobychui/zoraxy)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.