日前,美国网络安全和基础设施安全局(CISA)根据主动利用的证据,在其已知利用漏洞(KEV)目录中添加了影响 ZK 框架的高严重性漏洞。
该漏洞被跟踪为CVE-2022-36537(CVSS 分数:7.5),主要影响 ZK Framework 版本9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1,并可允许威胁参与者通过以下方式检索敏感信息特制的请求。
“ZK 框架是一个开源 Java 框架,”CISA说。“此漏洞会影响多种产品,包括但不限于 ConnectWise R1Soft 服务器备份管理器。”该漏洞已于2022年5月在版本9.6.2、9.6.0.2、9.5.1.4、9.0.1.3 和8.6.4.2中进行了修补。[阅读原文]