HackingLZ/CVE-2025-27237
GitHub: HackingLZ/CVE-2025-27237
Zabbix Agent Windows版本地权限提升漏洞(CVE-2025-27237)的PoC工具集,利用硬编码OpenSSL配置路径劫持实现DLL注入提权至SYSTEM。
Stars: 19 | Forks: 2
# CVE-2025-27237
Zabbix Agent/Agent2 for Windows 中通过 OpenSSL 配置文件劫持实现的本地权限提升漏洞。
## 概述
| 字段 | 值 |
|-------|-------|
| **CVE ID** | CVE-2025-27237 |
| **CVSS v4.0** | 7.3 (HIGH) |
| **CWE** | CWE-427: Uncontrolled Search Path Element |
| **类型** | 本地权限提升 |
| **厂商** | Zabbix |
Zabbix Agent for Windows 从一个硬编码路径(`C:\vcpkg\...`)加载 OpenSSL 配置,而该路径可被低权限用户写入。攻击者可以植入一个恶意的 `openssl.cnf`,当 Zabbix Agent 服务重启时,它会以 SYSTEM 权限加载任意的 DLL。
## 受影响版本
| 分支 | 受影响 | 已修复 |
|--------|----------|-------|
| 6.0 LTS | 6.0.0 - 6.0.40 | 6.0.41 |
| 7.0 | 7.0.0 - 7.0.17 | 7.0.18 |
| 7.2 | 7.2.0 - 7.2.11 | 7.2.12 |
| 7.4 | 7.4.0 - 7.4.1 | 7.4.2 |
## 仓库内容
```
.
├── CVE-2025-27237-analysis.md # Detailed technical analysis
├── CVE-2025-27237-PoC.md # Proof of concept documentation
├── extract_openssl_paths.py # Binary analysis tool
├── poc.c # PoC DLL source (MessageBox)
├── poc2.c # PoC DLL variant (file write)
└── poc3.c # PoC DLL variant
```
## 用法
### 分析 Zabbix 二进制文件
从 Zabbix Agent 二进制文件中提取硬编码的 OpenSSL 路径以确定漏洞状态:
```
python extract_openssl_paths.py zabbix_agent2.exe
```
该脚本使用 `strings` 以及可选的 `radare2` 来查找:
- `OPENSSLDIR` - openssl.cnf 的位置
- `ENGINESDIR` - OpenSSL 引擎的位置
- `MODULESDIR` - OpenSSL 模块的位置
### 编译 PoC DLL (MinGW)
针对 32 位 (i386) Zabbix Agent:
```
i686-w64-mingw32-gcc -shared -o poc.dll poc.c -luser32
```
针对 64 位 (amd64) Zabbix Agent:
```
x86_64-w64-mingw32-gcc -shared -o poc.dll poc.c -luser32
```
## 下载受影响的 Agent
受影响版本的 Zabbix Agent 可以从官方存档下载:
https://www.zabbix.com/download_agents
## 利用条件
1. Windows 系统的本地用户访问权限
2. Zabbix Agent 配置了 TLS (`TLSConnect=cert` 或 `TLSAccept=cert`)
3. 能够在 `C:\` 根目录创建目录(Windows 默认权限)
4. 服务重启(或系统重启)
## 检测
检查利用企图:
```
Test-Path "C:\vcpkg\downloads\tools\msys2\*\etc\ssl\openssl.cnf"
```
## 修复
升级到已修复版本:
- 6.0.41+, 7.0.18+, 7.2.12+, 或 7.4.2+
## 参考
- [NVD - CVE-2025-27237](https://nvd.nist.gov/vuln/detail/CVE-2025-27237)
- [Zabbix Support - ZBX-27061](https://support.zabbix.com/browse/ZBX-27061)
- [GitHub Advisory - GHSA-r6x3-vwpm-5vwg](https://github.com/advisories/GHSA-r6x3-vwpm-5vwg)
## 致谢
- 原始发现:himbeer (via HackerOne)
- 分析:2026 年 1 月进行的独立验证
标签:CVE-2025-27237, CWE-427, DLL劫持, Gophish, LPE, MinGW, OpenSSL, PoC, SYSTEM权限, vcpkg, Web报告查看器, Zabbix, 基于攻击的渗透测试, 安全测试工具, 暴力破解, 本地权限提升, 系统集成, 网络安全, 路径搜索, 逆向工具, 配置文件劫持, 隐私保护, 验证代码