CVE-2026-26306 CVSS 7.8 高危

CVE-2026-26306 OM Workspace DLL加载漏洞

披露日期: 2026-03-25

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-26306

漏洞类型

动态链接库劫持 (DLL Hijacking)

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

OM Workspace (Windows Edition)

漏洞概述

OM Workspace (Windows Edition) 2.4及更早版本的安装程序存在不安全加载动态链接库的漏洞。由于程序未指定DLL加载的完整路径，攻击者可将恶意DLL文件置于特定目录。当用户运行安装程序时，恶意代码将以用户权限执行，从而威胁系统安全。

技术细节

该漏洞属于经典的DLL劫持类型。Windows系统在加载DLL时通常会遵循特定的搜索顺序（如当前工作目录、系统目录等）。OM Workspace的安装程序在调用依赖库时，未使用完整路径或采取安全搜索策略（如SetDllDirectory），导致攻击者可以利用这一缺陷。攻击者首先需要识别安装程序所依赖的DLL名称，然后创建一个同名的恶意DLL文件。通过社会工程学手段诱导用户将安装程序放置在包含恶意DLL的文件夹中运行，或者通过网络共享分发该文件夹。当受害者双击运行安装程序时，系统会优先加载攻击者植入的恶意DLL而非系统合法库。一旦DLL被加载，其中的恶意代码（如反向Shell或勒索软件）将在安装程序的进程上下文中执行。由于CVSS向量显示无需认证且影响机密性、完整性、可用性均为高，该漏洞可导致攻击者完全控制用户环境。

攻击链分析

STEP 1

信息收集

攻击者分析OM Workspace安装程序，确定其尝试加载但未指定完整路径的DLL名称。

STEP 2

武器化

攻击者编写一个与目标DLL同名的恶意DLL文件，其中包含旨在执行任意代码的有效载荷。

STEP 3

投递

攻击者将恶意DLL文件放置在与OM Workspace安装程序相同的目录中，通过网络共享或压缩包诱导用户下载。

STEP 4

利用与执行

用户在该目录下运行安装程序。由于存在DLL劫持漏洞，安装程序加载了恶意DLL，导致攻击者的代码以用户权限执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <windows.h>
#include <stdlib.h>

// PoC for CVE-2026-26306 - Malicious DLL
// This DLL simulates a payload by executing calc.exe when loaded.

BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved) {
    switch (ul_reason_for_call) {
    case DLL_PROCESS_ATTACH:
        // Code to execute when the installer loads this DLL
        WinExec("calc.exe", SW_SHOW);
        // In a real attack, this could be a shellcode or download-cradle
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

影响范围

OM Workspace (Windows Edition) <= 2.4

防御指南

临时缓解措施

建议用户立即访问OM System官方网站获取并安装OM Workspace的更新版本，以修复此不安全DLL加载漏洞。在无法立即更新的情况下，用户应确保在干净、可信的目录路径下运行安装程序，避免在包含不明文件的目录中执行安装操作。此外，应遵循最小权限原则，尽量避免使用管理员账户运行非必要的安装程序。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表