Vulnerabilidad en una petición POST al componente AuUploader en ZK Framework (CVE-2022-36537)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/08/2022
Última modificación:
03/11/2025
Descripción
ZK Framework versiones v9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 y 8.6.4.1, permite a atacantes acceder a información confidencial por medio de una petición POST diseñada enviada al componente AuUploader.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:zkoss:zk_framework:*:*:*:*:*:*:*:* | 8.6.4.2 (excluyendo) | |
| cpe:2.3:a:zkoss:zk_framework:*:*:*:*:*:*:*:* | 9.0.0 (incluyendo) | 9.0.1.3 (excluyendo) |
| cpe:2.3:a:zkoss:zk_framework:*:*:*:*:*:*:*:* | 9.5.0 (incluyendo) | 9.5.1.3 (excluyendo) |
| cpe:2.3:a:zkoss:zk_framework:*:*:*:*:*:*:*:* | 9.6.0 (incluyendo) | 9.6.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://tracker.zkoss.org/browse/ZK-5150
- https://www.bleepingcomputer.com/news/security/cisa-warns-of-hackers-exploiting-zk-java-framework-rce-flaw/
- https://tracker.zkoss.org/browse/ZK-5150
- https://www.bleepingcomputer.com/news/security/cisa-warns-of-hackers-exploiting-zk-java-framework-rce-flaw/
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-36537