VIPRE高级安全软件本地权限提升漏洞分析

本文详细分析了VIPRE高级安全软件中存在的本地权限提升漏洞(CVE-2025-13703),该漏洞由于安装程序文件夹权限配置错误,允许攻击者在获得低权限代码执行能力后提升至SYSTEM权限执行任意代码。

ZDI-25-1023 | Zero Day Initiative

咨询详情

发布日期:2025年11月26日
漏洞名称:VIPRE高级安全软件错误权限分配本地权限提升漏洞
ZDI编号:ZDI-25-1023
ZDI-CAN编号:ZDI-CAN-27147

CVE ID:CVE-2025-13703

CVSS评分:7.8,AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

受影响厂商:VIPRE

受影响产品:Advanced Security

漏洞详情

该漏洞允许本地攻击者在受影响的VIPRE高级安全软件(PC版)安装实例上提升权限。攻击者首先需要在目标系统上获得执行低权限代码的能力才能利用此漏洞。

具体缺陷存在于产品安装程序中。该问题源于某个文件夹的权限配置错误。攻击者可利用此漏洞提升权限,并在SYSTEM上下文中执行任意代码。

补充信息

VIPRE已发布更新以修复此漏洞。更多详细信息请访问:
https://success.vipre.com/home-windows-release-notes/home-windows-release-notes-20250925

披露时间线

  • 2025年6月5日 - 向厂商报告漏洞
  • 2025年11月26日 - 协调公开发布咨询
  • 2025年11月26日 - 咨询更新

致谢

Adam Babis

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次