CVE-2024-58288: CWE-428: Genexus Protection Server中的未引用搜索路径或元素漏洞

严重性：高 类型：漏洞

CVE-2024-58288 Genexus Protection Server 9.7.2.10 在 protsrvservice Windows 服务配置中包含一个未引用的服务路径漏洞。攻击者可以利用未引用的二进制路径，通过在特定的文件系统位置放置恶意可执行文件，以提升的 LocalSystem 权限执行任意代码。

AI 分析技术总结

CVE-2024-58288 是一个在 Genexus Protection Server 版本 9.7.2.10 中发现的未引用搜索路径漏洞 (CWE-428)，具体存在于 protsrvservice Windows 服务配置中。此漏洞的出现是因为服务可执行文件路径未用引号括起来，导致 Windows 在路径包含空格时错误解析路径。拥有本地访问权限的攻击者可以通过在 Windows 搜索合法服务可执行文件之前的一个目录中放置恶意可执行文件来利用此漏洞。当服务启动或重启时，恶意可执行文件将以 LocalSystem 权限运行，从而授予攻击者对该系统的完全控制权。该漏洞不需要用户交互或事先认证，增加了其风险状况。CVSS v4.0 评分为 8.7（高），反映了网络攻击途径、低复杂度、无需权限以及对机密性、完整性和可用性的高影响。目前尚未公开已知的漏洞利用代码，但鉴于本地访问权限，该漏洞易于利用。根本原因是 Windows 服务配置中二进制路径的引用不当，这是一种常见的配置错误，可以通过将路径括在引号中并保护目录权限来缓解。在将 Genexus Protection Server 用于保护关键应用程序或数据的环境中，此漏洞尤其危险，因为它可能导致系统完全被破坏。

潜在影响

对于欧洲组织而言，利用 CVE-2024-58288 可能导致运行 Genexus Protection Server 9.7.2.10 的服务器完全被破坏。获得 LocalSystem 权限的攻击者可以绕过所有安全控制措施、访问敏感数据、中断服务，或将受破坏的系统用作在网络内横向移动的立足点。这对于金融、医疗保健和政府等数据机密性和服务可用性至关重要的行业尤其关键。该漏洞无需用户交互或认证即可轻松利用，增加了在获得本地访问权限（例如通过网络钓鱼或内部威胁）后快速被破坏的风险。依赖 Genexus Protection Server 进行应用程序保护的组织，如果遭到利用，可能会面临重大的运营和声誉损害。目前尚未在野外发现已知的漏洞利用，这为在大规模攻击发生前进行主动缓解提供了一个窗口期。

缓解建议

立即验证并纠正 protsrvservice Windows 服务配置中的服务可执行文件路径，将整个路径用双引号括起来，以防止未引用路径解析问题。
将服务可执行文件路径中所有目录的写入权限限制为仅受信任的管理员，防止攻击者放置恶意可执行文件。
实施应用程序白名单，以防止未经授权的可执行文件运行。
监控与服务路径相关的目录中的文件系统更改，以发现可疑活动。
限制本地用户权限，以降低本地利用的风险。
如果可能，一旦有可用版本，请升级到 Genexus Protection Server 的修补版本，或应用供应商提供的补丁。
定期对整个环境中的服务配置进行审计，以检测类似的未引用路径漏洞。
教育系统管理员关于未引用服务路径的风险以及安全服务配置的最佳实践。

受影响的国家

德国、法国、英国、意大利、西班牙、荷兰、瑞典

来源： CVE Database V5 发布日期： 2025年12月11日星期四