Plataforma
go
Componente
github.com/tobychui/zoraxy
Corrigido em
3.3.3
3.3.2
Uma vulnerabilidade de travessia de caminho (path traversal) autenticada no endpoint de importação de configuração do Zoraxy permite que usuários autenticados escrevam arquivos arbitrários fora do diretório de configuração. Essa falha pode levar à execução remota de código (RCE) ao criar um plugin malicioso. A vulnerabilidade afeta versões anteriores a 3.3.2 e foi corrigida nesta versão.
Um atacante autenticado pode explorar esta vulnerabilidade para escrever arquivos em locais arbitrários no sistema de arquivos, contornando as restrições de diretório. Ao criar um plugin malicioso e colocá-lo em um local acessível, o atacante pode executar código arbitrário com os privilégios do processo Zoraxy. Isso pode resultar em comprometimento completo do sistema, roubo de dados sensíveis ou instalação de malware. A exploração bem-sucedida depende do atacante ter credenciais válidas para autenticar no sistema Zoraxy.
A vulnerabilidade foi divulgada em 25 de março de 2026. Não há evidências de exploração ativa em campanhas públicas no momento. A pontuação de probabilidade de exploração (EPSS) ainda está pendente de avaliação. A descrição da vulnerabilidade indica que a sanitização de nomes de arquivos é contornada, o que pode facilitar a exploração.
Organizations utilizing Zoraxy for configuration management, particularly those with custom plugins or integrations, are at risk. Shared hosting environments where multiple users have authenticated access to the Zoraxy instance are also particularly vulnerable, as a compromised user account could be leveraged to exploit this vulnerability.
• linux / server:
find /opt/zoraxy/config -type f -name '*passwd*'• linux / server:
journalctl -u zoraxy -g "path traversal"• generic web:
curl -I http://your-zoraxy-instance/api/conf/import | grep -i 'content-type: multipart/form-data'disclosure
Status do Exploit
EPSS
0.05% (percentil 17%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Zoraxy para a versão 3.3.2 ou superior, que corrige a vulnerabilidade de travessia de caminho. Se a atualização imediata não for possível, considere restringir o acesso ao endpoint /api/conf/import apenas a usuários confiáveis. Implementar controles de validação de entrada mais rigorosos para garantir que os nomes dos arquivos importados não contenham sequências de travessia de caminho (como ../). Monitore os logs do sistema em busca de tentativas de escrita de arquivos em locais inesperados.
Atualize Zoraxy para a versão 3.3.2 ou superior. Esta versão corrige a vulnerabilidade de path traversal que permite a execução remota de código. A atualização pode ser realizada baixando a nova versão do repositório oficial e substituindo os arquivos existentes.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33529 is a Remote Code Execution vulnerability in Zoraxy versions prior to 3.3.2. An authenticated user can exploit path traversal during configuration import to write arbitrary files, potentially leading to RCE.
You are affected if you are running Zoraxy versions 3.3.1 or earlier and utilize the configuration import functionality. Upgrade to 3.3.2 or later to mitigate the risk.
Upgrade Zoraxy to version 3.3.2 or later. As a temporary workaround, restrict write access to the configuration directory and implement strict input validation.
There is currently no evidence of active exploitation in the wild, but the potential for RCE remains a significant concern.
Refer to the Zoraxy project's official repository and release notes for the advisory and detailed information regarding the fix: [https://github.com/tobychui/zoraxy](https://github.com/tobychui/zoraxy)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.