【漏洞预警】7-zip命令执行

百家 作者:锦行科技 2022-04-19 17:24:44


漏洞名称:7-Zip 命令执行

影响范围:v21.07

漏洞编号:CVE-2022-29072

漏洞类型:命令执行或提升权限

利用条件:

综合评价:

<利用难度>:低

<威胁等级>:高危  能获取服务器权限


#1 漏洞描述

Windows平台 7-Zip(v21.07) 允许将扩展名为 .7z 的文件被拖到HELP>contents时,可造成权限提升和命令执行。
7-zip 软件中包含的零日漏洞是基于 7z.dll 的错误配置和堆溢出。7-zip软件安装后,HELP>contents内容中的帮助文件通过Windows HTML Helper文件工作,但是命令注入后,7zFM.exe进程下出现了一个子进程。


#2 解决方案

第一种方法:如果 7-zip 没有更新,删除 7-zip.chm 文件就足以关闭漏洞。

第二种方法:7-zip 程序应该只有读取和运行权限。(适用于所有用户)。


#3 参考资料

https://github.com/kagancapar/CVE-2022-29072




推 荐 阅 读




【漏洞预警】 S2-062 Struts2 OGNL表达式注入漏洞


【漏洞预警】Spring框架远程命令执行漏洞



关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接