CVE-2022-36537

Опубликовано: 26 авг. 2022

Источник: nvd

CVSS3: 7.5

EPSS Критический

Описание

ZK Framework v9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 and 8.6.4.1 allows attackers to access sensitive information via a crafted POST request sent to the component AuUploader.

Ссылки

https://tracker.zkoss.org/browse/ZK-5150
Issue Tracking
Patch
Vendor Advisory
https://www.bleepingcomputer.com/news/security/cisa-warns-of-hackers-exploiting-zk-java-framework-rce-flaw/
Third Party Advisory
https://tracker.zkoss.org/browse/ZK-5150
Issue Tracking
Patch
Vendor Advisory
https://www.bleepingcomputer.com/news/security/cisa-warns-of-hackers-exploiting-zk-java-framework-rce-flaw/
Third Party Advisory
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-36537
US Government Resource

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:zkoss:zk_framework:*:*:*:*:*:*:*:*

Версия до 8.6.4.2 (исключая)

cpe:2.3:a:zkoss:zk_framework:*:*:*:*:*:*:*:*

Версия от 9.0.0 (включая) до 9.0.1.3 (исключая)

cpe:2.3:a:zkoss:zk_framework:*:*:*:*:*:*:*:*

Версия от 9.5.0 (включая) до 9.5.1.3 (исключая)

cpe:2.3:a:zkoss:zk_framework:*:*:*:*:*:*:*:*

Версия от 9.6.0 (включая) до 9.6.2 (исключая)

EPSS

Процентиль: 100%

0.93977

Критический

7.5 High

CVSS3

Дефекты

NVD-CWE-Other

Связанные уязвимости

GHSA-6278-2q4m-cmf3

CVSS3: 7.5

github

больше 3 лет назад

ZK Framework vulnerable to malicious POST

BDU:2023-01444

CVSS3: 7.5

fstec

почти 4 года назад

Уязвимость компонента AuUploader фреймворка для разработки веб-приложений ZK Framework, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации,

EPSS

Процентиль: 100%

0.93977

Критический

7.5 High

CVSS3

Дефекты

NVD-CWE-Other