关键漏洞信息 漏洞名称: HotKey Clipboard 2.1.0.6 - Privilege Escalation Unquoted Service Path E DB-ID: 51206 CVE: N/A 作者: Wim Jaap van Vliet 类型: LOCAL 平台: WINDOWS 发布日期: 2023-04-03 易受攻击的应用程序: HotKey Clipboard Service 'HKClipSvc' 漏洞详情: - 热键剪贴板服务 'HKClipSvc' 安装为 Control Center3.0 v3.97(及更早版本)的一部分,由 Clevo 提供。 - 该服务包通常安装在 Clevo 笔记本电脑(或其他使用 Clevo 裸机的品牌)上作为驱动程序。 - 由于存在未加引号的服务路径,这可能会允许授权但权限不足的本地用户以系统权限执行任意代码。 漏洞利用信息 测试环境: Windows 11 Pro 10.0.22000 问题描述: - 热键剪贴板服务 'HKClipSvc' 的安装具有未加引号的服务路径,这在 Windows 系统上的服务中是一个常见问题。 - 当服务路径未加引号时,可能会被恶意利用,特别是如果路径中包含空格,则可能被攻击者利用来执行任意代码。 相关链接 Vendor Homepage: www.clevo.com.tw Software Link: https://enstrong.blob.core.windows.net/en-driver/PDXXPNX1/Others/CC30_1006.zip