漏洞概述 漏洞名称: Network Inventory Advisor 5.0.26.0 Unquoted Service Path Privilege Escalation CVE编号: CVE-2019-25747 CWE编号: CWE-428 Unquoted Search Path or Element CVSS评分: 8.5 CVSS向量: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 严重程度: HIGH 发布日期: 6/19/2026 描述: Network Inventory Advisor 5.0.26.0 安装了一个未加引号的服务路径,允许本地攻击者通过在中间目录放置恶意可执行文件来提权。攻击者可以利用服务配置中的未加引号路径,在服务启动或重启时以LocalSystem权限执行任意代码。 影响范围 受影响产品: Network Inventory Advisor <= 5.0.26.0 修复方案 修复建议: 更新Network Inventory Advisor至最新版本,确保服务路径已正确加引号,防止本地攻击者通过未加引号的服务路径进行提权。 参考链接 ExploitDB-47584 Official Product Homepage Product Reference 贡献者 Samuel DiazL