MobaXterm < 26.1 安全漏洞CVE-2026-25866

MobaXterm 是专为 Windows 平台设计的一款全能型远程终端与服务器管理工具，工具集成 SSH、X11、RDP、VNC、SFTP 等功能。

一、基本情况

MobaXterm 是运行在 Windows 平台上的一站式远程计算工具，在单个应用内提供完整远程连接、文件传输、图形显示与命令行环境。

MobaXterm 是运维、开发人员的高效远程工具箱，直接替代 SSH、X11、SFTP、RDP、VNC 等多个工具，开箱即用、无需复杂配置。

栋科技漏洞库关注到 MobaXterm 在 26.1 之前版本中存在的未受控搜索路径元素漏洞，现追踪为CVE-2026-25866，CVSS 4.0评分8.5。

二、漏洞分析

CVE-2026-25866漏洞是存在于 26.1 之前的MobaXterm版本包含一个不受控制的搜索路径元素漏洞，该漏洞源于未加引号的服务路径。

具体来说，MobaXterm应用程序在打开远程文件时会调用 WinExec 来执行 Notepad++，但该过程没有完全使用完整限定的可执行路径。

导致攻击者可以利用搜索路径行为，通过在搜索顺序中放置一个恶意的可执行文件，从而导致在受影响用户的上下文中执行任意代码。

三、影响范围

MobaXterm < 26.1

四、修复建议

MobaXterm > 26.1 

五、参考链接

管理员已设置登录后刷新可查看