CVE-2026-7279eMPIA Technology开发的AVACAST应用程序中存在严重的DLL劫持安全漏洞。该漏洞允许经过身份验证的本地攻击者利用不安全的DLL加载路径,将恶意的动态链接库文件植入到系统的特定目录中。当应用程序尝试加载该受影响的DLL时,由于缺乏有效的验证机制,系统将执行攻击者提供的恶意代码。此过程无需用户交互,且代码将以系统最高权限运行,从而允许攻击者完全控制受影响的主机。
该漏洞的核心机制在于Windows系统加载DLL时的搜索顺序特性。eMPIA Technology的AVACAST软件在启动或运行过程中,试图加载某个动态链接库时,未指定文件的绝对路径。根据Windows DLL搜索顺序,系统会优先在应用程序当前目录下查找DLL。攻击者只需拥有普通用户权限,即可将恶意构造的DLL文件重命名为目标DLL名称,并放置于该特定目录下。一旦AVACAST程序被系统或用户触发加载该DLL,恶意代码即以SYSTEM权限运行。由于攻击向量为本地且无需用户交互,这极易导致权限的提升,使得攻击者能够完全控制系统,窃取敏感数据、破坏系统完整性或拒绝服务。