L'agence américaine Cybersecurity & Infrastructure Security Agency (CISA) a ajouté CVE-2022-36537 à son "Known Exploited Vulnerabilities Catalog" après que des acteurs de la menace aient commencé à exploiter activement la faille d'exécution de code à distance (RCE) dans des attaques.

CVE-2022-36537 est une faille de haute gravité (CVSS v3.1 : 7.5) ayant un impact sur les versions 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 et 8.6.4.1 de ZK Framework, permettant aux attaquants d'accéder à des informations sensibles en envoyant une requête POST spécialement conçue au composant AuUploader pour récupérer le contenu d'un fichier situé dans le contexte web.

Le framework ZK est largement utilisé dans des projets de tous types et de toutes tailles, de sorte que l'impact de la faille est vaste et profond.

ZK est un framework d'applications Web Ajax open-source écrit en Java, permettant aux développeurs Web de créer des interfaces graphiques pour des applications Web avec un minimum d'efforts et de connaissances en programmation.

Parmi les exemples notables de produits utilisant le framework ZK figurent ConnectWise Recover, version 2.9.7 et antérieure, et ConnectWise R1SoftServer Backup Manager, version 6.16.3 et antérieure.

La CISA a fixé la date limite d'application des mises à jour de sécurité disponibles au 20 mars 2023.

Selon l'équipe Fox-IT du groupe NCC, lors d'une récente réponse à un incident, il a été découvert qu'un adversaire a exploité CVE-2022-36537 pour obtenir un accès initial au logiciel ConnectWise R1Soft Server Backup Manager.

Par conséquent, les outils permettant d'effectuer des attaques contre les déploiements non patchés de R1Soft Server Backup Manager sont largement disponibles, ce qui rend impératif la mise à jour des administrateurs vers la dernière version.