MarkAny SafePC Enterprise 中的远程代码执行漏洞

该 RCE 漏洞允许攻击者在受影响的 SafePC Enterprise 系统上执行任意代码。攻击者首先可能利用路径遍历漏洞获取敏感服务器信息，例如数据库连接字符串或配置文件内容。随后，他们可以利用 SQL 注入漏洞篡改数据库内容，或者利用危险文件类型上传漏洞上传恶意文件，例如webshell。成功利用此漏洞可能导致系统完全被攻陷，攻击者可以窃取敏感数据、安装后门程序、甚至控制整个网络。由于 SafePC Enterprise 通常用于数据保护和安全管理，因此该漏洞的潜在影响非常严重，可能导致数据泄露、业务中断和声誉损失。

Organizations utilizing SafePC Enterprise, particularly those with older versions (7.0.0.0) and those with lax file upload policies or inadequate input validation, are at significant risk. Shared hosting environments where multiple users share the same SafePC Enterprise instance are also particularly vulnerable, as a compromise of one user's account could lead to broader system compromise.

• windows / supply-chain:

Get-Process -Name SafePCEnterprise | Select-Object -ExpandProperty Path

• windows / supply-chain:

Get-ScheduledTask | Where-Object {$_.TaskName -like '*SafePCEnterprise*'}

• windows / supply-chain:

Get-WinEvent -LogName Application -FilterXPath '//Event[System[Provider[@Name='SafePCEnterprise']]]'

• linux / server:

journalctl -u SafePCEnterprise | grep -i "path traversal"

• linux / server:

lsof -i :8080 | grep SafePCEnterprise

1. 2025-10-02Disclosure

   disclosure

2. 2025-10-02Patch

   patch

1. 已保留2025-09-26
2. 发布日期2025-10-02
3. EPSS 更新日期2026-03-23

为了缓解 CVE-2025-11020 漏洞的风险，首要措施是立即升级到 SafePC Enterprise 7.0.1 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制对 SafePC Enterprise 服务器的访问，仅允许授权用户访问。实施严格的文件上传策略，禁止上传危险类型的文件。配置 Web 应用防火墙 (WAF) 或代理服务器，拦截恶意请求，例如包含 SQL 注入语句或尝试访问敏感文件的请求。定期审查 SafePC Enterprise 的配置，确保其安全性。升级后，请确认漏洞已成功修复，可以通过尝试触发路径遍历漏洞或上传危险文件来验证。