一、 漏洞 CVE-2025-54422 基础信息
漏洞信息
# Sandboxie 密码修改泄露加密沙箱密钥
## 概述
Sandboxie 是一款用于 32 位和 64 位 Windows NT 系统的沙盒隔离软件。在版本 1.16.1 及以下中,存在一个关键的密码处理漏洞。
## 影响版本
- 版本 1.16.1 及更早版本
## 细节
- 在创建加密沙盒时,用户密码通过共享内存传输,可能被截获。
- 更严重的是,在修改密码过程中,**旧密码**和**新密码**以明文形式作为命令行参数传递给 Imbox 进程,**未进行加密或混淆处理**。
- 此行为使得同一用户会话中的任何进程(包括非特权进程)都能通过读取命令行参数获取密码。
## 影响
- 攻击者可利用此漏洞绕过正常权限限制,获取用户敏感凭证。
- 导致密码信息泄露,存在严重的安全风险。
## 修复版本
- 该问题已在版本 1.16.2 中修复。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-54422 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-54422 的情报信息
-
标题: Release Release v1.16.2 / 5.71.2 · sandboxie-plus/Sandboxie · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: Leak of encrypted sandbox key during password change · Advisory · sandboxie-plus/Sandboxie · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
- https://nvd.nist.gov/vuln/detail/CVE-2025-54422
四、漏洞 CVE-2025-54422 的评论
暂无评论