漏洞概述
Event Log Explorer 4.9.3 版本中存在一个未加引号的服务路径(Unquoted Service Path)漏洞,本地低权限用户可利用该漏洞在服务启动时执行任意代码,并以 LocalSystem 权限运行,从而实现权限提升。
漏洞详情
- CVE 编号:CVE-2021-47861
- 漏洞类型:CWE-428(未加引号的可执行文件路径)
- CVSS 评分:CVSS v3.1 基础评分为 7.8(HIGH),CVSS v4.0 基础评分为 8.5(HIGH)
- 影响版本:Event Log Explorer 4.9.3
影响范围
该漏洞影响安装了 Event Log Explorer 4.9.3 的 Windows 系统。由于服务路径未使用引号包裹,若路径中包含空格且未正确限定,Windows 会尝试加载路径中首个匹配的可执行文件,攻击者可借此在特定目录放置恶意程序以实现提权。
风险分析
攻击者需具备本地低权限账户访问能力,无需用户交互即可利用此漏洞。成功利用后,可在目标系统上以 LocalSystem 权限执行任意代码,导致完全控制系统、数据泄露或持久化驻留等严重后果。
修复建议
- 建议用户升级至 Event Log Explorer 官方发布的最新安全版本(如已发布)。
- 若暂无法升级,可手动检查并修正相关服务的可执行路径,确保路径使用双引号完整包裹(例如:”C:\Program Files\EventLogExplorer\service.exe”)。
- 限制对系统关键目录(如 C:\Program Files\)的写入权限,防止非授权用户植入恶意可执行文件。
