CVE-2026-30905 CVSS 7.8 高危

CVE-2026-30905 Zoom VDI插件路径控制权限提升漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-30905

漏洞类型

路径控制导致权限提升

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Zoom Workplace VDI Plugin Windows Universal Installer

漏洞概述

Zoom Workplace VDI Plugin Windows Universal Installer在6.6.11之前的版本中存在路径外部控制漏洞。由于软件未能正确验证用户输入的文件名或路径，本地经过身份认证的攻击者可利用此缺陷操控关键文件路径。通过构造恶意的输入数据，攻击者能够绕过安全限制，实现权限提升，进而对系统的机密性、完整性和可用性造成严重影响。

技术细节

该漏洞的核心原理在于“文件名或路径的外部控制”。在Zoom Workplace VDI Plugin Windows Universal Installer的旧版本中，安装程序在执行文件写入操作时，未对用户可控的路径参数进行充分的规范化处理和权限校验。攻击者在获得本地低权限账户访问权限后，可以利用此缺陷，通过构造包含路径遍历序列（如../）或符号链接的恶意输入，强制安装程序将文件写入受保护的系统目录（如System32）或覆盖关键的配置文件与可执行文件。由于安装过程往往继承了高权限（如SYSTEM），攻击者借此手段可成功绕过操作系统的访问控制机制，实现从普通用户到管理员权限的垂直提权，最终完全掌控系统的机密性、完整性和可用性。

攻击链分析

STEP 1

步骤1：侦察

攻击者确认目标系统上安装了存在漏洞的Zoom Workplace VDI Plugin Windows Universal Installer（版本 < 6.6.11）。

STEP 2

步骤2：获取本地访问

攻击者通过某种方式获得目标机器的低权限本地访问权限（Authenticated User）。

STEP 3

步骤3：路径遍历攻击

攻击者触发安装程序或相关进程，并利用“External Control of File Name or Path”漏洞，传入包含路径遍历字符（如../）的恶意文件名参数。

STEP 4

步骤4：权限提升

由于安装程序以高权限运行，恶意文件被写入系统敏感目录（如System32）或覆盖关键文件，从而赋予攻击者SYSTEM或管理员权限。

STEP 5

步骤5：影响达成

攻击者完全控制系统，可窃取数据（C:H）、篡改配置（I:H）或破坏服务（A:H）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC Concept for External Control of File Name or Path
# This script demonstrates how an unvalidated path could lead to privilege escalation.
# Note: This is a simulation for educational purposes.

import os

def vulnerable_installer_component(user_input_path):
    # Simulating a vulnerable function that does not validate the path
    # In the real scenario, this might be part of an installer running with high privileges
    try:
        # The vulnerability allows writing to arbitrary paths controlled by the user
        full_path = os.path.abspath(user_input_path)
        
        print(f"[*] Attempting to write to: {full_path}")
        
        with open(full_path, 'w') as f:
            # Writing malicious content (e.g., a DLL or configuration)
            f.write("MALICIOUS_PAYLOAD_CONTENT")
            
        print(f"[+] Success! File written to {full_path}")
        print("[+] Privilege escalation potential achieved if path was in a protected system directory.")
        
    except Exception as e:
        print(f"[-] Error: {e}")

# Attack Scenario: Attacker provides a path to a system directory
# Using relative path traversal to escape the intended installation directory
malicious_input = "../../Windows/System32/evil_hijack.dll"

vulnerable_installer_component(malicious_input)

影响范围

Zoom Workplace VDI Plugin Windows Universal Installer < 6.6.11

防御指南

临时缓解措施

在无法立即升级的情况下，建议限制本地非管理员用户执行安装操作，并使用系统监控工具检测对敏感系统目录的异常写入行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表