CISA发布主动利用 ZK Java Web 框架漏洞警告

日前，美国网络安全和基础设施安全局（CISA）根据主动利用的证据，在其已知利用漏洞（KEV）目录中添加了影响 ZK 框架的高严重性漏洞。

该漏洞被跟踪为CVE-2022-36537（CVSS 分数：7.5），主要影响 ZK Framework 版本9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1，并可允许威胁参与者通过以下方式检索敏感信息特制的请求。

“ZK 框架是一个开源 Java 框架，”CISA说。“此漏洞会影响多种产品，包括但不限于 ConnectWise R1Soft 服务器备份管理器。”该漏洞已于2022年5月在版本9.6.2、9.6.0.2、9.5.1.4、9.0.1.3 和8.6.4.2中进行了修补。[阅读原文]