SysAid 修复 4 个严重漏洞，可实现本地版本的预认证远程代码执行

HackerNews 编译，转载请注明出处：

网络安全研究人员披露了SysAid IT支持软件本地版本中的多个安全漏洞，这些漏洞可能被利用来实现预认证的远程代码执行，并提升权限。

这些漏洞被追踪为CVE-2025-2775、CVE-2025-2776和CVE-2025-2777，均被描述为XML外部实体（XXE）注入漏洞，这种情况发生在攻击者能够成功干扰应用程序解析XML输入时。

反过来，这可能会允许攻击者将不安全的XML实体注入到Web应用程序中，使他们能够执行服务器端请求伪造（SSRF）攻击，最坏的情况下，实现远程代码执行。

根据watchTowr Labs研究人员Sina Kheirkhah和Jake Knott的说法，这3个漏洞的描述如下：

• CVE-2025-2775和CVE-2025-2776：在/mdm/checkin端点中的预认证XXE
• CVE-2025-2777：在/lshw端点中的预认证XXE

成功利用这些漏洞可以使攻击者检索包含敏感信息的本地文件，包括SysAid自己的“InitAccount.cmd”文件，其中包含安装期间创建的管理员账户用户名和明文密码信息。

凭借这些信息，攻击者可以作为具有管理员权限的用户，获得对SysAid的完全管理访问权限。

更糟糕的是，XXE漏洞可以与另一个操作系统命令注入漏洞（由第三方发现）串联，以实现远程代码执行。该命令注入问题已被分配为CVE-2025-2778。

SysAid已于2025年3月初通过发布本地版本24.4.60 b16修复了这4个漏洞。一个结合这4个漏洞的概念验证（PoC）利用程序已经公开。

鉴于SysAid的安全漏洞（如CVE-2023-47246）此前曾被Cl0p等勒索软件行为者在零日攻击中利用，用户必须更新其实例至最新版本。

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络； 

转载请注明“转自 HackerNews.cc”并附上原文