概述
在Sunshine for Windows v2025.122.141614(及可能更早版本)中发现了两个本地安全漏洞。这些漏洞可能允许攻击者在受影响的系统上执行任意代码并提升权限。
漏洞描述
Sunshine是Moonlight的自托管游戏流媒体主机。
CVE-2025-10198 未引用的服务路径(CWE-428)
Sunshine for Windows安装了一个服务路径未加引号的Windows服务。这允许具有本地访问权限的攻击者在服务路径中的目录(在合法二进制文件之前)放置恶意可执行文件,该文件可能在系统启动或服务重启时以提升的权限执行。
CVE-2025-10199 DLL搜索顺序劫持(CWE-427)
Sunshine for Windows未能正确控制所需DLL的搜索路径。这允许攻击者将恶意DLL放置在PATH环境变量包含的用户可写目录中。当应用程序加载时,可能会无意中加载恶意DLL,导致任意代码执行。
影响
- CVE-2025-10198:具有本地访问权限的攻击者可以将权限提升至SYSTEM,导致受影响机器的完全被控制。
- CVE-2025-10199:攻击者可以在运行应用程序的用户上下文中执行恶意代码。
解决方案
一旦Sunshine项目提供更新,请立即应用。
在发布补丁之前,可采取以下缓解措施:
- 确保PATH环境变量中不包含用户可写目录
- 在Windows服务配置中为所有服务路径添加引号
- 限制服务相关目录的权限,防止未经授权的文件放置
致谢
感谢报告者Pundhapat Sichamnong。本文档由Timur Snoke编写。
供应商信息
LizardByte
- 状态:未知
- 通知时间:2025-06-13
- 更新时间:2025-09-10
- CVE-2025-10198:未知
- CVE-2025-10199:未知
供应商声明
我们尚未收到供应商的声明。
参考链接
- https://github.com/LizardByte/Sunshine
- https://github.com/LizardByte/Sunshine/pull/3971
- https://github.com/LizardByte/Sunshine/security/advisories/GHSA-r3rw-mx4q-7vfp
其他信息
CVE编号
- CVE-2025-10198
- CVE-2025-10199
时间线
- 公开日期:2025-09-10
- 首次发布日期:2025-09-10
- 最后更新日期:2025-09-10 18:20 UTC
- 文档版本:1