CVE-2026-39853 CVSS 7.8 高危

CVE-2026-39853 osslsigncode栈缓冲区溢出漏洞

披露日期: 2026-04-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39853

漏洞类型

栈缓冲区溢出

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

osslsigncode

漏洞概述

osslsigncode是一个用于Authenticode签名和时间戳的工具。在2.12版本之前，该工具在多个签名验证路径中存在栈缓冲区溢出漏洞。在验证PKCS#7签名时，代码将解析后的SpcIndirectDataContent结构中的摘要值复制到固定大小的栈缓冲区中，且未验证源长度是否适合目标缓冲区。该漏洞存在于PE、MSI、CAB和脚本文件的验证处理程序中，攻击者可利用此漏洞破坏堆栈状态。

技术细节

该漏洞的根本原因在于osslsigncode在处理SpcIndirectDataContent结构时缺乏边界检查。具体而言，当程序调用`osslsigncode verify`验证PE、MSI、CAB或脚本文件时，会执行`memcpy`操作，试图将攻击者控制的摘要数据复制到栈上分配的固定大小缓冲区`mdbuf[EVP_MAX_MD_SIZE]`（64字节）中。由于未校验输入数据的长度，攻击者可以构造包含超大摘要字段的恶意签名文件。当用户验证该文件时，无限制的数据复制将导致栈缓冲区溢出，进而覆盖相邻的栈变量、返回地址或其他关键控制数据，最终可能导致任意代码执行或程序崩溃。

攻击链分析

STEP 1

构造恶意文件

攻击者创建一个包含畸形PKCS#7签名的PE、MSI、CAB或脚本文件，其中SpcIndirectDataContent结构的摘要字段大小超过64字节。

STEP 2

诱导受害者

攻击者将恶意文件分发给目标用户，诱导用户下载或接收该文件。

STEP 3

触发验证

目标用户使用受影响版本的osslsigncode执行verify命令验证该文件。

STEP 4

执行溢出

osslsigncode在处理过程中执行无边界检查的memcpy，导致栈缓冲区溢出，覆盖返回地址，可能实现任意代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import sys

# Conceptual PoC for CVE-2026-39853
# This script demonstrates the logic to create a malformed structure.
# Exploitation requires crafting a PE/MSI/CAB file with a specific PKCS#7 signature.

def create_malicious_digest():
    # EVP_MAX_MD_SIZE is 64 bytes. Creating a digest larger than this triggers the overflow.
    overflow_size = 100
    malicious_digest = b"A" * overflow_size
    return malicious_digest

if __name__ == "__main__":
    payload = create_malicious_digest()
    print(f"[*] Generated payload size: {len(payload)} bytes")
    print("[*] To trigger the vulnerability, embed this payload in the SpcIndirectDataContent digest field of a signed file.")
    print("[*] Trigger command: osslsigncode verify malicious_file.signed")

影响范围

osslsigncode < 2.12

防御指南

临时缓解措施

建议用户立即将osslsigncode更新到2.12版本。如果无法立即更新，应避免使用该工具验证来源不明的文件，并确保在最小权限环境下运行文件验证操作。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表