一、 漏洞 CVE-2020-36927 基础信息
漏洞信息
# DiskPulse 13.6.14 服务路径漏洞
N/A
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
DiskPulse 13.6.14 - Unquoted Service Path
来源:美国国家漏洞数据库 NVD
漏洞描述信息
DiskPulse Enterprise 13.6.14 contains an unquoted service path vulnerability in its Windows service configuration that allows local attackers to potentially execute arbitrary code. Attackers can exploit the unquoted path in 'C:\Program Files\Disk Pulse Enterprise\bin\diskpls.exe' to inject malicious executables and escalate privileges.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
未经引用的搜索路径或元素
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2020-36927 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2020-36927 的情报信息
标题: DiskPulse - Disk Change Monitor -- 🔗来源链接
标签:product
神龙速读:从这个网页截图中可以获取到以下关于漏洞的关键信息: - DiskPulse 是一个实时磁盘变更监控解决方案,允许用户监控一个或多个磁盘或目录,保存报告和磁盘变更监控统计信息。 - 网页上没有直接提到具体的漏洞信息,但从功能描述中可以推测潜在的安全风险: - **数据泄露风险**:磁盘变更监控统计信息和报告可能包含敏感数据,如果未妥善保护,可能会被未经授权的人员访问。 - **SQL数据库集成**:功能可能涉及与SQL数据库的交互,存在SQL注入攻击的风险,需要确保输入验证和参数化查询的安全性。 - **E-Mail通知功能**:如果邮件配置不当,可能会被恶意用户利用发送垃圾邮件或钓鱼邮件。 - **命令行工具和自定义命令执行**:如果这些功能没有严格的权限控制和输入验证,可能会被用于执行恶意命令。 在使用DiskPulse时,应特别关注这些潜在的安全风险,并采取相应的安全措施进行防护。
标题: DiskPulse 13.6.14 - 'Multiple' Unquoted Service Path - Windows local Exploit -- 🔗来源链接
标签:exploit
神龙速读:### 关键信息 - **EDB-ID:** 50012 - **CVE:** N/A - **漏洞名称:** DiskPulse 13.6.14 - 'Multiple' Unquoted Service Path - **作者:** Brian Rodriguez - **类型:** LOCAL - **平台:** WINDOWS - **日期:** 2021-06-16 - **漏洞应用程序:** DiskPulse 13.6.14 ### 漏洞细节 - **漏洞类型:** Unquoted Service Path - **测试版本:** 13.6.14 - **测试平台:** Windows 10 Enterprise 64 bits ### 发现未引用服务路径的步骤 ```bash C:\>wmic service get name,displayname,pathname,startmode | findstr /i "auto" | findstr /i /v "c:\\windows\\\" | findstr /i /v """" ``` ### 受影响的服务 ```plaintext NOMBRE_RUTA_BINARIO: C:\Program Files\Disk Pulse Enterprise\bin\diskplse.exe NOMBRE_RUTA_BINARIO: C:\Program Files\Disk Pulse Server\bin\diskpls.exe ```
标题: DiskPulse 13.6.14 - Unquoted Service Path | Advisories | VulnCheck -- 🔗来源链接
标签:third-party-advisory
神龙速读:### 漏洞关键信息 - **标题**: DiskPulse 13.6.14 - Unquoted Service Path - **严重性**: High - **日期**: January 15, 2026 - **影响版本**: DiskPulse 13.6.14 - **CVE编号**: CVE-2020-36927 - **CVE描述**: CWE-428 Unquoted Search Path or Element - **CVSS评分**: 7.8/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N - **漏洞详情链接**: - https://www.exploitdb.com/exploits/50012 - Vendor Homepage - **贡献者**: Brian Rodriguez - **描述**: DiskPulse Enterprise 13.6.14在Windows服务配置中存在未引用的服务路径漏洞,允许本地攻击者可能执行任意代码。攻击者可以利用'c:\Program Files\Disk Pulse Enterprise\bin\diskpls.exe'中的未引用路径注入恶意可执行文件并提升权限。
- https://nvd.nist.gov/vuln/detail/CVE-2020-36927
四、漏洞 CVE-2020-36927 的评论
暂无评论