Platform
go
Component
github.com/tobychui/zoraxy
Opgelost in
3.3.3
3.3.2
CVE-2026-33529 beschrijft een Remote Code Execution (RCE) kwetsbaarheid in de configuratie-import endpoint van zoraxy. Deze kwetsbaarheid stelt een geauthenticeerde gebruiker in staat om willekeurige bestanden buiten de toegewezen configuratie directory te schrijven, wat potentieel kan leiden tot code-uitvoering. De kwetsbaarheid treft versies van zoraxy die ouder zijn dan 3.3.2. Een patch is beschikbaar in versie 3.3.2.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om willekeurige bestanden op het systeem te schrijven. Dit kan worden misbruikt om kwaadaardige code uit te voeren, bijvoorbeeld door een plugin te creëren die de controle over het systeem overneemt. De impact is aanzienlijk, omdat een aanvaller volledige controle kan verkrijgen over de server waarop zoraxy draait. Dit kan leiden tot data-exfiltratie, systeemcompromittering en verdere aanvallen op andere systemen binnen het netwerk. De mogelijkheid om plugins te creëren, vergroot de aanvalsoppervlakte aanzienlijk.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve exploits in de wild, maar de relatieve eenvoud van de exploitatie maakt het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de urgentie van mitigatie onderstreept. Er zijn publieke proof-of-concept (POC) beschikbaar, wat de risico's verder verhoogt.
Organizations utilizing Zoraxy for configuration management, particularly those with custom plugins or integrations, are at risk. Shared hosting environments where multiple users have authenticated access to the Zoraxy instance are also particularly vulnerable, as a compromised user account could be leveraged to exploit this vulnerability.
• linux / server:
find /opt/zoraxy/config -type f -name '*passwd*'• linux / server:
journalctl -u zoraxy -g "path traversal"• generic web:
curl -I http://your-zoraxy-instance/api/conf/import | grep -i 'content-type: multipart/form-data'disclosure
Exploit Status
EPSS
0.05% (17% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van zoraxy naar versie 3.3.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de configuratie-import endpoint. Implementeer strikte authenticatie- en autorisatiecontroles om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot deze functionaliteit. Monitor de logbestanden op verdachte activiteiten, zoals ongebruikelijke bestandsschrijfbewerkingen buiten de configuratie directory. Een Web Application Firewall (WAF) kan worden geconfigureerd om path traversal pogingen te detecteren en te blokkeren.
Werk Zoraxy bij naar versie 3.3.2 of hoger. Deze versie corrigeert de (path traversal) kwetsbaarheid die remote code execution mogelijk maakt. De update kan worden uitgevoerd door de nieuwe versie te downloaden van de officiële repository en de bestaande bestanden te vervangen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33529 is een Remote Code Execution kwetsbaarheid in de configuratie-import endpoint van zoraxy, waardoor een geauthenticeerde gebruiker willekeurige bestanden kan schrijven.
Ja, als u een versie van zoraxy gebruikt die ouder is dan 3.3.2, bent u kwetsbaar voor deze kwetsbaarheid.
Upgrade naar versie 3.3.2 of hoger. Indien dit niet mogelijk is, beperk dan de toegang tot de configuratie-import endpoint.
Er is geen bevestigde actieve exploitatie, maar de eenvoud van de exploitatie maakt het waarschijnlijk dat dit in de toekomst zal gebeuren.
Raadpleeg de GitHub repository van zoraxy voor de officiële aankondiging en details over de patch.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.