漏洞关键信息 漏洞概述 软件: GoSign Desktop 版本: 2.4.0 (Windows, Linux, macOS) 发现日期: 2025年11月 漏洞详情 TLS证书验证绕过 问题: TLS证书验证被禁用 (SSL_VERIFY_NONE) 影响: - 恶意软件安装 (严重) - 凭据盗窃 (高) - 特权提升 (高) 不安全的更新机制 问题: 更新机制依赖于未签名的清单文件 影响: 远程代码执行 CVSS评分 评分: 8.2 向量: AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H CWE映射 CWE-295: 不正确的证书验证 CWE-347: 不正确的加密签名验证 CWE-200: 敏感信息暴露给未授权者 攻击场景 1. 中间人攻击 (MitM): 通过代理和自签名证书接受,可拦截OAuth密钥、JWT令牌等。 2. 特权提升: 本地攻击者可修改 以强制恶意更新和提升权限。 解决方案 修复版本: GoSign Desktop 2.4.1 (2025-11-04) - RCE - 已修复 - 特权提升 - 已修复 - TLS绕过信息泄露 - 未修复 披露时间线 2025-10-03: 发现漏洞 2025-10-04: 开发概念证明 2025-10-07: 开始与厂商沟通 2025-11-08: 确认漏洞影响超过100万用户 2025-11-14: 发布公告 ``` 这些关键信息总结了GoSign Desktop中的安全漏洞及其影响、修复措施和披露过程。