TALOS-2025-2275 || Cisco Talos情报小组 - 全面威胁情报

Foxit PDF编辑器安装路径不受控制导致的权限提升漏洞

发布日期：2025年12月19日

CVE编号 CVE-2025-57779

概述 在通过微软商店安装Foxit PDF编辑器时存在一个权限提升漏洞。低权限用户可在安装过程中替换文件，可能导致非预期的权限提升。

已确认受影响的版本 以下版本由Talos测试、验证，或由供应商确认为存在漏洞。 Foxit PDF Editor 2025.2.0.33046

产品链接 Foxit PDF Editor - https://www.foxit.com/pdf-editor/

CVSSv3评分 8.8 - CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

CWE CWE-427 - 不受控制的搜索路径元素

详细信息 Foxit PDF编辑器是一款轻量级、易于使用的PDF文件处理程序。它允许打开、阅读和编辑PDF。可以添加文本、图像和注释，以及在PDF中高亮或标记重要信息。它还可以将多个文件合并为一个PDF，将大型PDF拆分为较小部分，并使用密码保护文档。Foxit PDF编辑器是为商业打造的一体化PDF解决方案。

当通过微软商店应用程序安装Foxit PDF编辑器时，存在权限提升问题。当用户尝试安装Foxit PDF编辑器时，后台会发生以下事件：

1. WindowsPackageManagerServer.exe下载并运行FoxitPDFEditor20252_L10N_Setup_MSStore_x64.exe。

   1 2 3 4 5

   8:06:52.1846888 AM WindowsPackageManagerServer.exe 5084 CreateFile C:\Users\dev\AppData\Local\Temp\WinGet\XPDNZD76FP5JR7.2025.2.0.33046\FoxitPDFEditor20252_L10N_Setup_MSStore_x64.exe Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a NAME NOT FOUND Medium [...] 8:09:18.9276165 AM WindowsPackageManagerServer.exe 5084 SetRenameInformationFile C:\Users\dev\AppData\Local\Temp\WinGet\XPDNZD76FP5JR7.2025.2.0.33046\bcf4a9a5fb30716b9fedee7afd36e062b7eb50ec02bf0239d41717fae12f4627 ReplaceIfExists: True, FileName: C:\Users\dev\AppData\Local\Temp\WinGet\XPDNZD76FP5JR7.2025.2.0.33046\FoxitPDFEditor20252_L10N_Setup_MSStore_x64.exe SUCCESS Medium

2. 如果以中等完整性权限启动，FoxitPDFEditor20252_L10N_Setup_MSStore_x64.exe会退出。

3. WindowsPackageManagerServer.exe尝试以高完整性进程启动该可执行文件。一旦获得权限，新的FoxitPDFEditor20252_L10N_Setup_MSStore_x64.exe进程将以高完整性权限运行。

   1 2 3

   8:09:54.0428068 AM WindowsPackageManagerServer.exe 5084 Process Create C:\Users\dev\AppData\Local\Temp\WinGet\XPDNZD76FP5JR7.2025.2.0.33046\FoxitPDFEditor20252_L10N_Setup_MSStore_x64.exe PID: 6644, Command line: "C:\Users\dev\AppData\Local\Temp\WinGet\XPDNZD76FP5JR7.2025.2.0.33046\FoxitPDFEditor20252_L10N_Setup_MSStore_x64.exe" /quiet SUCCESS Medium 8:09:54.0429218 AM FoxitPDFEditor20252_L10N_Setup_MSStore_x64.exe 6644 Process Start Parent PID: 5084, Command line: "C:\Users\dev\AppData\Local\Temp\WinGet\XPDNZD76FP5JR7.2025.2.0.33046\FoxitPDFEditor20252_L10N_Setup_MSStore_x64.exe" /quiet, Current directory: C:\Windows\system32\, Environment: [...] 8:09:54.0429389 AM FoxitPDFEditor20252_L10N_Setup_MSStore_x64.exe 6644 Thread Create Thread ID: 8308 SUCCESS High

4. 这个提升的进程以高完整性权限运行msiexec.exe以完成应用程序的安装。

   1

   8:10:11.3724098 AM FoxitPDFEditor20252_L10N_Setup_MSStore_x64.exe 6644 CreateFile C:\Users\dev\AppData\Local\Temp\WinGet\XPDNZD76FP5JR7.2025.2.0.33046\msiexec.exe Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a NAME NOT FOUND High

该漏洞之所以存在，是因为可执行映像搜索未限制在受信任的路径。在本例中，%TEMP%\WinGet\<Random>.<Version>目录标准用户可写。拥有用户权限的攻击者可以通过在该文件夹中放置名为msiexec.exe的恶意文件来利用此漏洞。当安装程序尝试运行msiexec.exe时，它将执行攻击者控制的文件，并具有高完整性权限。

1
2
3
4
5

8:52:07.9945181 AM	C:\Users\dev\AppData\Local\Temp\WinGet\XPDNZD76FP5JR7.2025.2.0.33046\msiexec.exe	msiexec.exe	9876	Process Start		SUCCESS	Parent PID: 7652, Command line: msiexec /i "C:\ProgramData\Package Cache\{CA7B7BF5-754E-11F0-B87B-54BF64A63C26}v2025.2.0.33046\Setup.msi" /qn /norestart  ASSTBALL_SHOW=1 DESKTOP_SHORTCUT=1 WIN8TILE=1 EXE_INSTALL=1 PACKAGENAMEUID="FoxitPDFEditor20252_L10N_Setup_MSStore_x64.exe" NO_CACHE_PACKAGE=1, Current directory: C:\Windows\system32\, Environment: [..]

8:52:07.9945319 AM	C:\Users\dev\AppData\Local\Temp\WinGet\XPDNZD76FP5JR7.2025.2.0.33046\msiexec.exe	msiexec.exe	9876	Thread Create		SUCCESS	Thread ID: 3888	High

8:52:08.0198070 AM	C:\Users\dev\AppData\Local\Temp\WinGet\XPDNZD76FP5JR7.2025.2.0.33046\msiexec.exe	msiexec.exe	9876	Load Image	C:\Users\dev\AppData\Local\Temp\WinGet\XPDNZD76FP5JR7.2025.2.0.33046\msiexec.exe	SUCCESS	Image Base: 0x7ff625c30000, Image Size: 0x2b000	High

在本案例中，该漏洞利用注册了一个服务，将权限从高完整性提升到系统级别。

时间线

• 2025-09-23 - 向供应商披露
• 2025-12-19 - 供应商发布补丁
• 2025-12-19 - 公开发布

致谢 由思科Talos的KPC发现。