प्लेटफ़ॉर्म
go
घटक
github.com/tobychui/zoraxy
में ठीक किया गया
3.3.3
3.3.2
CVE-2026-33529 zoraxy के कॉन्फ़िगरेशन आयात एंडपॉइंट में एक प्रमाणित पथ पारगमन भेद्यता है। यह भेद्यता प्रमाणित उपयोगकर्ताओं को कॉन्फ़िग निर्देशिका के बाहर मनमाना फ़ाइलें लिखने की अनुमति देती है, जिससे संभावित रूप से रिमोट कोड एग्जीक्यूशन (RCE) हो सकता है। यह भेद्यता zoraxy के संस्करणों 3.3.2 से पहले के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, zoraxy को संस्करण 3.3.2 में अपडेट करें।
यह भेद्यता एक प्रमाणित हमलावर को कॉन्फ़िगरेशन आयात एंडपॉइंट का उपयोग करके मनमाना फ़ाइलें लिखने की अनुमति देती है। हमलावर ../ अनुक्रमों का उपयोग करके फ़ाइल पथों को हेरफेर कर सकता है, जो फ़ाइल नाम सैनिटाइजेशन को बायपास करता है। इससे हमलावर कॉन्फ़िग निर्देशिका के बाहर फ़ाइलें लिख सकता है, जैसे कि एक दुर्भावनापूर्ण प्लगइन। इस प्लगइन को फिर लोड किया जा सकता है, जिससे हमलावर सर्वर पर मनमाना कोड निष्पादित कर सकता है। इस भेद्यता का उपयोग सर्वर पर पूर्ण नियंत्रण प्राप्त करने के लिए किया जा सकता है, जिससे डेटा चोरी, सिस्टम समझौता और अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। यह भेद्यता लॉग4शेल जैसी अन्य RCE भेद्यताओं के समान शोषण पैटर्न का उपयोग कर सकती है, जहां पथ हेरफेर का उपयोग सुरक्षा नियंत्रणों को बायपास करने के लिए किया जाता है।
CVE-2026-33529 को अभी तक CISA KEV सूची में शामिल नहीं किया गया है। EPSS स्कोर अभी तक उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता 2026-03-25 को प्रकाशित हुई थी।
Organizations utilizing Zoraxy for configuration management, particularly those with custom plugins or integrations, are at risk. Shared hosting environments where multiple users have authenticated access to the Zoraxy instance are also particularly vulnerable, as a compromised user account could be leveraged to exploit this vulnerability.
• linux / server:
find /opt/zoraxy/config -type f -name '*passwd*'• linux / server:
journalctl -u zoraxy -g "path traversal"• generic web:
curl -I http://your-zoraxy-instance/api/conf/import | grep -i 'content-type: multipart/form-data'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (17% शतमक)
CISA SSVC
CVE-2026-33529 को कम करने के लिए, zoraxy को संस्करण 3.3.2 में अपडेट करना आवश्यक है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, कॉन्फ़िगरेशन आयात एंडपॉइंट तक पहुंच को केवल विश्वसनीय उपयोगकर्ताओं तक सीमित करने पर विचार करें। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू किया जा सकता है ताकि पथ पारगमन प्रयासों का पता लगाया जा सके और उन्हें अवरुद्ध किया जा सके। फ़ाइल नाम सैनिटाइजेशन को मजबूत करने के लिए कॉन्फ़िगरेशन फ़ाइलों को आयात करते समय अतिरिक्त सत्यापन लागू करें। सिस्टम लॉग की नियमित रूप से निगरानी करें ताकि असामान्य फ़ाइल निर्माण या संशोधन गतिविधि का पता लगाया जा सके।
Actualice Zoraxy a la versión 3.3.2 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite la ejecución remota de código. La actualización se puede realizar descargando la nueva versión desde el repositorio oficial y reemplazando los archivos existentes.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33529 zoraxy के कॉन्फ़िगरेशन आयात एंडपॉइंट में एक प्रमाणित पथ पारगमन भेद्यता है जो RCE की ओर ले जा सकती है।
यदि आप zoraxy के संस्करण 3.3.2 से पहले का संस्करण चला रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-33529 को ठीक करने के लिए, zoraxy को संस्करण 3.3.2 में अपडेट करें।
CVE-2026-33529 के सक्रिय शोषण का कोई ज्ञात प्रमाण नहीं है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
CVE-2026-33529 के लिए आधिकारिक zoraxy सलाहकार github.com/tobychui/zoraxy पर उपलब्ध है।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।