CVE-2022-36537
CVE-2022-36537
Vexday Risk Score
100Corrigir agora
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 7.5EPSS 95.3%KEV simPoC públicaNuclei simMetasploit —Patch —
Ciclo de vida
26 ago 2022Publicada no NVD
09 dez 2022PoC pública
27 fev 2023Exploração ativa (CISA KEV)
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
O ZK Framework possui uma falha no componente AuUploader que permite aos atacantes acessar informações sensíveis através de requisições POST especialmente criadas. Isso expõe dados que deveriam estar protegidos.
Detalhe técnico
O componente AuUploader no ZK Framework nas versões 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 e 8.6.4.1 falha ao validar ou restringir adequadamente o acesso a dados sensíveis ao processar requisições POST. Um atacante não autenticado pode explorar isso através de requisições maliciosas ao componente, resultando em divulgação de informações sem exigir autenticação prévia ou privilégios especiais.
Resumo gerado e traduzido por IA a partir da descrição oficial.
ZK Framework v9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 and 8.6.4.1 allows attackers to access sensitive information via a crafted POST request sent to the component AuUploader.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
n/a · n/aPoCs públicas encontradas — 3
githubgithub.com/Malwareman007/CVE-2022-36537★ 36githubgithub.com/agnihackers/CVE-2022-36537-EXPLOIT★ 9githubgithub.com/ethan-repo-lab4b6/CVE-2022-36537★ 0⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →