📋 漏洞概述

ACL Analytics 11.x至13.0.0.579版本EXECUTE函数存在命令注入漏洞，攻击者可远程执行任意命令获取系统控制权。

📋 基础信息

🔬 漏洞根因

ACL Analytics的EXECUTE函数未对用户输入的命令参数进行有效的过滤和验证，允许传入操作系统原生命令。攻击者可以通过构造包含恶意命令的输入（例如使用bitsadmin下载脚本），触发该函数直接执行操作系统命令。该缺陷属于设计层面未遵循最小权限原则，且未对用户可控的命令参数实施白名单或转义处理，导致任意命令执行。

🎯 攻击场景

1. 攻击者首先确认目标ACL Analytics版本在受影响范围内（11.x至13.0.0.579），且能通过网络访问或通过受害者诱导触发EXECUTE函数。 2. 攻击者构造恶意输入，利用EXECUTE函数调用bitsadmin.exe命令，从远程服务器下载一个恶意的PowerShell脚本。 3. 下载完成后，攻击者通过EXECUTE函数再次调用powershell.exe执行该恶意脚本。 4. 恶意PowerShell脚本建立反向Shell连接到攻击者控制的C2服务器，从而使攻击者在目标系统上获得System或管理员权限的远程shell。 5. 攻击者成功获取系统控制权，可进一步进行横向移动、数据窃取或安装持久化后门。

💥 漏洞影响

攻击者无需任何身份验证即可远程触发命令执行，在目标操作系统上以高权限（System）运行任意命令，完全控制受影响主机。可以导致系统敏感数据泄露、服务中断、横向渗透内网等严重后果。影响范围涵盖所有使用受影响版本ACL Analytics进行数据分析或审计的组织。

🛡️ 修复建议

升级至ACL Analytics 13.0.0.580或更高版本，官方已在该版本中修复EXECUTE函数的输入验证缺陷。临时缓解措施：在防火墙上限制ACL Analytics服务器的出站连接，特别是阻止到外部IP的HTTPS与SMB流量；同时禁用或限制EXECUTE函数的使用权限，仅授权给可信任的管理员账户；监控系统中对bitsadmin.exe和powershell.exe的异常调用。

📎 参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2018-25320
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-25320
• 原始来源（NVD-Latest）

🚨 威胁评估

⚠️ 本文由漏洞情报系统自动生成，仅供安全研究与防御参考。生成时间: 2026-05-18 08:05 | 来源: NVD-Latest