CVE-2025-5496CVE-2025-5496是ZohoCorp ManageEngine Endpoint Central(终端集中管理平台)中发现的一个安全漏洞。该漏洞存在于产品的代理安装(Agent Setup)组件中,属于任意文件删除漏洞(Arbitrary File Deletion Vulnerability)。ManageEngine Endpoint Central是一款广泛使用的企业级终端管理解决方案,用于集中管理组织内的桌面、笔记本电脑和服务器等设备,包括补丁管理、软件分发、远程控制、资产管理和安全策略配置等功能。由于该组件在处理特定操作时缺乏对目标文件路径的充分验证与权限检查,具有本地低权限访问权限的攻击者可以利用此漏洞删除系统上的任意文件。该漏洞的成功利用可能为攻击者进一步实施本地权限提升(Local Privilege Escalation, LPE)创造条件,例如通过删除关键的系统文件、安全防护文件或服务依赖文件来破坏系统完整性或获取更高权限。漏洞的CVSS 3.1评分为3.3分,被评定为低危级别,因为该漏洞需要本地访问权限且需要低权限认证,但其潜在影响不容忽视,尤其是在企业终端管理环境中,攻击者可能利用该漏洞绕过安全防护机制。该漏洞由安全研究人员发现并报告,ZohoCorp已发布安全公告和修复补丁。
CVE-2025-5496漏洞的核心问题在于ManageEngine Endpoint Central的代理安装组件(Agent Setup Component)在处理文件操作时未能正确验证和限制用户可控的文件路径参数。具体而言,当Endpoint Central Server向目标终端推送或更新代理(Agent)时,代理安装过程中涉及的某些文件操作(如卸载、日志清理、临时文件处理等)接受来自低权限用户的输入或受低权限用户可影响的路径参数。由于缺乏对路径遍历(Path Traversal)攻击的防护以及对系统关键目录的访问控制,攻击者可以通过构造特殊的文件路径,触发任意文件的删除操作。从CVSS向量分析,该漏洞的攻击向量为本地(AV:L),攻击复杂度低(AC:L),需要低权限认证(PR:L),无需用户交互(UI:N),对机密性无影响(C:N),对完整性有低影响(I:L),对可用性无影响(A:N)。攻击链方面,攻击者首先需要获得目标系统上的本地低权限访问权限(如通过其他方式入侵终端或利用社工手段),然后通过Endpoint Central的代理安装/卸载流程,利用路径遍历或符号链接攻击等技术,删除系统上的关键文件。虽然单次攻击仅能删除文件,但结合其他技术(如删除安全软件文件后绕过防护、利用DLL劫持等),攻击者可能实现权限提升。该漏洞影响11.4.2508.14、11.4.2516.06和11.4.2518.01之前的版本,ZohoCorp已通过加强路径验证和访问控制修复了此问题。