मुफ्त स्कैन करें
LOWCVE-2026-33529CVSS 3.3

Zoraxy: प्रमाणित पथ पारगमन (Path Traversal) कॉन्फ़िगरेशन आयात में RCE की ओर ले जाता है

प्लेटफ़ॉर्म

go

घटक

github.com/tobychui/zoraxy

में ठीक किया गया

3.3.3

3.3.2

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-33529 zoraxy के कॉन्फ़िगरेशन आयात एंडपॉइंट में एक प्रमाणित पथ पारगमन भेद्यता है। यह भेद्यता प्रमाणित उपयोगकर्ताओं को कॉन्फ़िग निर्देशिका के बाहर मनमाना फ़ाइलें लिखने की अनुमति देती है, जिससे संभावित रूप से रिमोट कोड एग्जीक्यूशन (RCE) हो सकता है। यह भेद्यता zoraxy के संस्करणों 3.3.2 से पहले के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, zoraxy को संस्करण 3.3.2 में अपडेट करें।

Go

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

go.mod अपलोड करें

प्रभाव और हमले की स्थितियाँ

यह भेद्यता एक प्रमाणित हमलावर को कॉन्फ़िगरेशन आयात एंडपॉइंट का उपयोग करके मनमाना फ़ाइलें लिखने की अनुमति देती है। हमलावर ../ अनुक्रमों का उपयोग करके फ़ाइल पथों को हेरफेर कर सकता है, जो फ़ाइल नाम सैनिटाइजेशन को बायपास करता है। इससे हमलावर कॉन्फ़िग निर्देशिका के बाहर फ़ाइलें लिख सकता है, जैसे कि एक दुर्भावनापूर्ण प्लगइन। इस प्लगइन को फिर लोड किया जा सकता है, जिससे हमलावर सर्वर पर मनमाना कोड निष्पादित कर सकता है। इस भेद्यता का उपयोग सर्वर पर पूर्ण नियंत्रण प्राप्त करने के लिए किया जा सकता है, जिससे डेटा चोरी, सिस्टम समझौता और अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। यह भेद्यता लॉग4शेल जैसी अन्य RCE भेद्यताओं के समान शोषण पैटर्न का उपयोग कर सकती है, जहां पथ हेरफेर का उपयोग सुरक्षा नियंत्रणों को बायपास करने के लिए किया जाता है।

शोषण संदर्भ

CVE-2026-33529 को अभी तक CISA KEV सूची में शामिल नहीं किया गया है। EPSS स्कोर अभी तक उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता 2026-03-25 को प्रकाशित हुई थी।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations utilizing Zoraxy for configuration management, particularly those with custom plugins or integrations, are at risk. Shared hosting environments where multiple users have authenticated access to the Zoraxy instance are also particularly vulnerable, as a compromised user account could be leveraged to exploit this vulnerability.

पहचान के चरणअनुवाद हो रहा है…

• linux / server:

find /opt/zoraxy/config -type f -name '*passwd*'

• linux / server:

journalctl -u zoraxy -g "path traversal"

• generic web:

curl -I http://your-zoraxy-instance/api/conf/import | grep -i 'content-type: multipart/form-data'

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट2 खतरा रिपोर्ट

EPSS

0.05% (17% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N3.3LOWAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityHighशोषण के लिए आवश्यक शर्तेंPrivileges RequiredHighहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
उच्च — रेस कंडीशन, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन या विशिष्ट परिस्थितियों की आवश्यकता।
Privileges Required
उच्च — व्यवस्थापक या विशेषाधिकार प्राप्त खाते की आवश्यकता।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकgithub.com/tobychui/zoraxy
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
< 3.3.2 – < 3.3.23.3.3
3.3.2

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2026-33529 को कम करने के लिए, zoraxy को संस्करण 3.3.2 में अपडेट करना आवश्यक है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, कॉन्फ़िगरेशन आयात एंडपॉइंट तक पहुंच को केवल विश्वसनीय उपयोगकर्ताओं तक सीमित करने पर विचार करें। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू किया जा सकता है ताकि पथ पारगमन प्रयासों का पता लगाया जा सके और उन्हें अवरुद्ध किया जा सके। फ़ाइल नाम सैनिटाइजेशन को मजबूत करने के लिए कॉन्फ़िगरेशन फ़ाइलों को आयात करते समय अतिरिक्त सत्यापन लागू करें। सिस्टम लॉग की नियमित रूप से निगरानी करें ताकि असामान्य फ़ाइल निर्माण या संशोधन गतिविधि का पता लगाया जा सके।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice Zoraxy a la versión 3.3.2 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite la ejecución remota de código. La actualización se puede realizar descargando la nueva versión desde el repositorio oficial y reemplazando los archivos existentes.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-33529 — RCE zoraxy में क्या है?

CVE-2026-33529 zoraxy के कॉन्फ़िगरेशन आयात एंडपॉइंट में एक प्रमाणित पथ पारगमन भेद्यता है जो RCE की ओर ले जा सकती है।

क्या मैं CVE-2026-33529 से zoraxy में प्रभावित हूं?

यदि आप zoraxy के संस्करण 3.3.2 से पहले का संस्करण चला रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2026-33529 में zoraxy को कैसे ठीक करूं?

CVE-2026-33529 को ठीक करने के लिए, zoraxy को संस्करण 3.3.2 में अपडेट करें।

क्या CVE-2026-33529 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-33529 के सक्रिय शोषण का कोई ज्ञात प्रमाण नहीं है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।

मैं CVE-2026-33529 के लिए आधिकारिक zoraxy सलाहकार कहां पा सकता हूं?

CVE-2026-33529 के लिए आधिकारिक zoraxy सलाहकार github.com/tobychui/zoraxy पर उपलब्ध है।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें