免费扫描
LOWCVE-2026-33529CVSS 3.3

Zoraxy: Config Import 中的认证路径遍历导致 RCE

平台

go

组件

github.com/tobychui/zoraxy

修复版本

3.3.3

3.3.2

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月
在NVD查看
保存

CVE-2026-33529 描述了 zoraxy 配置导入功能中的远程代码执行 (RCE) 漏洞。该漏洞允许经过身份验证的用户通过构造恶意的配置导入文件,在服务器上写入任意文件,从而可能导致远程代码执行。该漏洞影响 zoraxy 版本低于 3.3.2 的用户。建议立即升级至 3.3.2 版本以修复此安全问题。

Go

检测此 CVE 是否影响你的项目

上传你的 go.mod 文件,立即知道是否受影响。

上传 go.mod

影响与攻击场景

攻击者可以利用此漏洞通过构造恶意的 ZIP 压缩包,在 zoraxy 服务器上写入任意文件。由于配置导入功能允许用户创建插件,攻击者可以通过写入包含恶意代码的插件文件,从而在服务器上执行任意命令。这可能导致服务器被完全控制,敏感数据泄露,甚至被用于发起进一步的攻击。该漏洞的潜在影响包括数据泄露、系统破坏和供应链攻击,类似于其他文件写入漏洞的利用方式。

利用背景

该漏洞已公开披露,目前尚无公开的利用代码,但由于其远程代码执行的严重性,存在被利用的风险。该漏洞尚未被添加到 CISA KEV 目录。建议密切关注安全社区的动态,并及时采取缓解措施。

哪些人处于风险中翻译中…

Organizations utilizing Zoraxy for configuration management, particularly those with custom plugins or integrations, are at risk. Shared hosting environments where multiple users have authenticated access to the Zoraxy instance are also particularly vulnerable, as a compromised user account could be leveraged to exploit this vulnerability.

检测步骤翻译中…

• linux / server:

find /opt/zoraxy/config -type f -name '*passwd*'

• linux / server:

journalctl -u zoraxy -g "path traversal"

• generic web:

curl -I http://your-zoraxy-instance/api/conf/import | grep -i 'content-type: multipart/form-data'

攻击时间线

  1. Disclosure

    disclosure

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露
报告2 份威胁报告

EPSS

0.05% (17% 百分位)

CISA SSVC

利用情况poc
可自动化no
技术影响partial

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N3.3LOWAttack VectorNetwork攻击者如何到达目标Attack ComplexityHigh利用漏洞所需的条件Privileges RequiredHigh攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityLow敏感数据泄露风险IntegrityLow数据未授权篡改风险AvailabilityNone服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
高 — 需要竞态条件、非默认配置或特定情况。难以可靠利用。
Privileges Required
高 — 需要管理员或特权账户。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
低 — 可访问部分数据。
Integrity
低 — 攻击者可修改部分数据,影响有限。
Availability
无 — 无可用性影响。

受影响的软件

组件github.com/tobychui/zoraxy
供应商osv
影响范围修复版本
< 3.3.2 – < 3.3.23.3.3
3.3.2

弱点分类 (CWE)

CWE-22

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期
  4. EPSS 更新日期

缓解措施和替代方案

最有效的缓解措施是立即将 zoraxy 升级至 3.3.2 或更高版本。如果升级不可行,可以考虑以下临时缓解措施:限制配置导入功能的使用,仅允许受信任的用户进行配置导入;严格审查导入的配置文件的内容,确保不包含任何恶意代码;实施文件访问控制,限制对配置目录的写入权限。升级后,验证配置导入功能是否正常工作,并检查系统日志是否存在异常活动。

修复方法

升级 Zoraxy 到 3.3.2 或更高版本。此版本修复了允许远程代码执行的路径遍历漏洞。可以通过从官方仓库下载新版本并替换现有文件来执行升级。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-33529 — RCE 在 zoraxy 配置导入中?

CVE-2026-33529 是 zoraxy 配置导入功能中的一个远程代码执行漏洞,允许攻击者通过构造恶意的配置导入文件在服务器上执行任意代码。

我是否受到 CVE-2026-33529 在 zoraxy 中影响?

如果您正在使用 zoraxy 的 3.3.2 之前的版本,则可能受到此漏洞的影响。请立即升级至最新版本。

我如何修复 CVE-2026-33529 在 zoraxy 中?

最有效的修复方法是升级至 zoraxy 3.3.2 或更高版本。如果无法升级,请考虑临时缓解措施,如限制配置导入功能的使用。

CVE-2026-33529 是否正在被积极利用?

目前尚无公开的利用代码,但由于漏洞的严重性,存在被利用的风险。请密切关注安全动态。

在哪里可以找到 zoraxy 官方关于 CVE-2026-33529 的公告?

请访问 zoraxy 的官方网站或 GitHub 仓库,查找有关 CVE-2026-33529 的安全公告。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE