关键信息总结 漏洞概述 漏洞名称: 多个漏洞导致GoSign Desktop远程代码执行 CVE编号: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H 严重性: CVSS评分8.2/10 (高危) 影响版本: GoSign Desktop <= 2.4.0 漏洞细节 1. TLS验证绕过 - 问题: GoSign Desktop禁用了TLS证书验证( ),导致TLS连接在配置使用代理服务器时无法验证服务器身份。 - 影响: 容易受到中间人(MitM)攻击。 2. 不安全更新机制 - 问题: 更新机制依赖未签名的清单,允许攻击者提供恶意更新包。 - 影响: 可导致远程代码执行。 3. 特权提升 - 问题: GoSign Desktop用户可以以相同权限运行恶意软件,从而获得系统控制权。 - 影响: 在Linux上获得root权限,在Windows和macOS上获得管理员权限。 时间线 发现日期: 2025-10-03 公开发布: 2025-11-04 漏洞验证和利用 漏洞验证: 已通过动态运行时插桩验证TLS验证禁用行为。 利用步骤: 提供了详细的PoC和攻击脚本,包括中间人攻击(MitM)和特权提升(在Linux、Windows、macOS上)。 CVSS评分和CWE映射 CVSS Base Score: 8.2 CWE分类: CWE-295, CWE-347, CWE-200 工作环境 修复: 在GoSign Desktop 2.4.1版本中部分修复,但TLS证书验证禁用问题仍未解决。 解决办法: 部署安全代理和使用受信更新通道。 厂商响应 负责任披露: 初始响应良好,但最终未遵循最佳实践,未公告修复版本,未更新变更日志。 法律通知 版权: 2025年版权,禁止非法使用和分发。