关键信息: 漏洞概述 标题: 服务执行路径未加引号漏洞影响 ,允许低权限本地用户在服务启动时执行不同二进制文件,导致潜在的权限提升 --- 漏洞影响 受影响产品: - 产品: MuseHub / Muse Hub Updater Service - 组件/服务: - 执行文件路径: - 版本: - 问题路径: - 观察结果: 服务图像路径未用引号包围,用户可以修改路径 --- 漏洞总结 类型: 未加引号的服务路径 / 未控制搜索路径元素 相关CWE: CWE-428(未控制的搜索路径元素),CWE-276(错误默认权限) 可利用性: 本地攻击者使服务启动或重启时执行代码,不会影响远程访问或社交工程攻击 CVSS v3.1分数: 8.8(高危) --- 影响 如果以系统权限运行,本地用户可利用漏洞实现完全系统控制,影响主机机密性、完整性和可用性 --- 引用 https://cwe.mitre.org/data/definitions/428.html https://www.musehub.com/hi-in