文章总结: Cisco披露ClamAV存在多个高危漏洞,攻击者可通过构造恶意文件触发扫描服务崩溃,导致拒绝服务。漏洞影响Windows、Linux和macOS平台,Windows端风险最高。官方建议企业及时升级修复版本,无临时缓解方案。 综合评分: 83 文章分类: 漏洞预警,应急响应,漏洞分析,网络安全,终端安全
ClamAV曝高危漏洞:远程投毒即可“打崩”杀毒引擎,Cisco紧急发布修复
看雪学苑 看雪学苑
看雪学苑
2026年7月2日 17:59 上海
在小说阅读器读本章
去阅读
近日,网络安全厂商 Cisco 发布安全公告(cisco-sa-clamav-88cFYyxR),披露其安全产品中使用的开源反病毒引擎 ClamAV 存在多项高危漏洞,可能被攻击者远程利用,引发扫描服务崩溃,从而造成拒绝服务(DoS)风险。
这些漏洞影响范围覆盖 Windows、Linux 与 macOS 等主流平台,其中 Windows 端风险最高,CVSS 评分达到 7.5(高危级别)。
一、漏洞核心:问题出在“文件解析器”
本次披露的漏洞并不依赖复杂入侵手段,攻击者只需构造恶意文件即可触发。
受影响的文件解析模块包括但不限于:
- PE 可执行文件解析
- 7z 压缩包解析
- InstallShield 安装包
- PESpin 加壳文件
- ALZ 压缩格式
- DMG 镜像文件
- FSG 等多种文件结构解析逻辑
漏洞本质集中在几个经典安全问题上:
- 内存越界读写
- 边界检查缺失
- 整数溢出(尤其在 32 位环境)
- 资源管理错误
当 ClamAV 在扫描这些“特制文件”时,可能直接触发进程崩溃。
二、攻击方式很简单:一份“恶意文件”即可触发
攻击者无需认证权限,只需将恶意构造文件投递到目标环境即可,例如:
- 邮件附件
- Web 下载文件
- 内部文件共享系统
一旦用户终端的安全软件开始扫描文件,漏洞即可能被触发,导致:
- ClamAV 扫描进程崩溃
- 扫描服务短时间不可用
- 安全检测能力中断
在企业环境中,这意味着“防病毒窗口期”被强行打开。
三、不同平台影响差异明显
Cisco 在公告中对影响范围做了区分:
Windows(高危)
- 权限较高的扫描进程可能被直接影响
- 服务崩溃可能导致终端卡顿或无响应
- 严重情况下需人工重启恢复
- CVSS:7.5(High)
Linux / macOS(中危)
- 多数情况下仅影响扫描服务
- 操作系统本身稳定性影响较小
- 但防护能力会暂时失效
四、真实风险:杀毒软件“先死一步”
安全行业长期存在一个典型风险:安全产品本身处理不可信输入。
ClamAV 作为邮件网关、终端防护、文件扫描的重要组件,一旦被打崩,会直接导致:
- 新文件无法及时检测
- 恶意样本“穿透”防护窗口
- 企业安全策略出现短暂盲区
更关键的是,在部分历史案例中,类似漏洞甚至曾被进一步升级利用,实现远程代码执行(RCE)。
五、Cisco确认:无临时缓解方案,只能升级
Cisco 明确表示:
- 暂无有效绕过或临时缓解措施
- 唯一可靠方式是升级修复版本
受影响产品为:Cisco Secure Endpoint Connector(Windows / Linux / macOS)
虽然 Cisco 的 Secure Endpoint Private Cloud 本身不直接受影响,但其分发的客户端组件仍使用 ClamAV,因此仍需统一升级。
官方建议企业安全团队:
- 及时更新 Secure Endpoint Connector
- 对不同操作系统版本逐一核对修复版本
- 检查相关 CVE 与 Bug ID
- 确保终端资源充足,避免升级过程中服务异常
所有“解析不可信输入”的组件,都是高危攻击面
无论是压缩包、镜像文件还是可执行程序,一旦进入杀毒引擎解析链路,就可能成为漏洞触发点。对于企业而言,安全建设不能只依赖单点防护,而需要:
- 多层检测体系
- 沙箱隔离扫描
- 最小权限运行安全组件
- 及时更新安全引擎版本
资讯来源:
Cisco 官方安全公告:cisco-sa-clamav-88cFYyxR
ClamAV 项目主页:ClamAV Official Site
Cisco 安全产品信息:Cisco Official Site
球分享
球点赞
球在看
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:看雪学苑 看雪学苑 看雪学苑《ClamAV曝高危漏洞:远程投毒即可“打崩”杀毒引擎,Cisco紧急发布修复》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。







评论