Windows 截图工具 Greenshot 曝高危漏洞 可执行任意代码（PoC已公开）

漏洞概述

Windows平台知名开源截图工具Greenshot近日曝出高危安全漏洞 。截具该漏洞（CVE待分配）允许本地攻击者在Greenshot进程内执行任意代码 ，图工可能绕过安全防护措施实施进一步攻击 。曝高目前概念验证（PoC）利用代码已公开，危漏证实该漏洞影响2025年8月20日发布的洞可代码1.3.300及更早版本。亿华云开发团队已在最新发布的执行1.3.301版本中修复该漏洞 ，强烈建议所有用户立即升级。任意

技术原理

漏洞根源在于Greenshot处理进程间通信（IPC）机制存在缺陷 。公开具体表现为：

程序通过Windows的建站模板截具WM_COPYDATA消息系统接收数据时，未验证数据来源及完整性就直接使用BinaryFormatter.Deserialize方法进行反序列化代码执行流程存在逻辑错误——程序在检查通信通道授权状态前就执行了反序列化操作攻击者可构造包含恶意"gadget chain"的图工序列化载荷
，利用相同用户权限的曝高本地进程向Greenshot主窗口发送特制消息攻击影响

该漏洞具有以下严重后果 ：

(1) 权限逃逸：攻击者代码可在经过数字签名的高防服务器合法Greenshot进程内执行

(2) 防御绕过 ：可规避AppLocker、Windows Defender应用控制（WDAC）等基于可执行文件白名单的危漏安全机制

(3) 企业风险：攻击者获取工作站低权限后，可利用已安装的洞可代码Greenshot实施隐蔽攻击，模板下载包括：

建立持久化后门进行横向移动作为高级内存攻击的执行跳板修复建议

目前除升级至1.3.301版本外 ，暂无其他有效缓解措施  。任意企业用户应特别关注：

立即通过官方渠道更新所有终端上的Greenshot软件加强端点行为监控，源码下载防范可信进程的异常活动考虑实施纵深防御策略，限制高权限进程的网络连接能力