适用于 Windows 的 ESET 产品中不带引号的路径权限漏洞 (CVE-2023-7043)

CVE编号

CVE-2023-7043

利用情况

暂无

补丁情况

N/A

披露时间

2024-01-31
漏洞描述
ESET产品中存在一个漏洞,即未使用引号的服务路径,可以允许将准备好的程序放置在特定位置,并在系统启动时以NT AUTHORITY\NetworkService权限运行。通过利用该漏洞,攻击者可以在系统启动时以高权限执行恶意代码,可能导致系统被控制和数据泄露等安全风险。用户应及时安装官方修复程序以解决此问题。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://support.eset.com/en/ca8602
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 eset endpoint_antivirus * From
(including)
10.1.2046.0 		Up to
(excluding)
11.0.2032.0
运行在以下环境
应用 eset endpoint_security * From
(including)
10.1.2046.0 		Up to
(excluding)
11.0.2032.0
运行在以下环境
应用 eset internet_security * From
(including)
16.1.14.0 		Up to
(excluding)
17.0.15.0
运行在以下环境
应用 eset mail_security 10.1.10012.0 -
运行在以下环境
应用 eset nod32_antivirus * From
(including)
16.1.14.0 		Up to
(excluding)
17.0.15.0
运行在以下环境
应用 eset smart_security_premium * From
(including)
16.1.14.0 		Up to
(excluding)
17.0.15.0
CVSS3评分
3.3
  • 攻击路径
    本地
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CWE-ID 漏洞类型
CWE-428 未经引用的搜索路径或元素
阿里云安全产品覆盖情况