← volver
CVE-2022-36537

CVE-2022-36537

CVSS 7.5 HIGHEPSS 95.3%● KEV
En resumen

El ZK Framework tiene una falla en el componente AuUploader que permite a los atacantes acceder a información sensible mediante solicitudes POST especialmente diseñadas. Esto expone datos que deberían estar protegidos.

Detalle técnico

El componente AuUploader en ZK Framework en las versiones 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 y 8.6.4.1 falla al validar o restringir adecuadamente el acceso a datos sensibles al procesar solicitudes POST. Un atacante no autenticado puede explotar esto mediante solicitudes maliciosas al componente, resultando en divulgación de información sin requerir autenticación previa o privilegios especiales.

Resumen generado y traducido por IA a partir de la descripción oficial.
ZK Framework v9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 and 8.6.4.1 allows attackers to access sensitive information via a crafted POST request sent to the component AuUploader.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
n/a · n/a
PoCs públicas encontradas3
githubgithub.com/Malwareman007/CVE-2022-3653736githubgithub.com/agnihackers/CVE-2022-36537-EXPLOIT9githubgithub.com/ethan-repo-lab4b6/CVE-2022-365370
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://tracker.zkoss.org/browse/ZK-5150https://www.bleepingcomputer.com/news/security/cisa-warns-of-hackers-exploiting-zk-java-framework-rce-flaw/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-36537