PODROBNOSTI O ZRANITELNOSTI
CVE-2025-14305 - https://www.cve.org/CVERecord?id=CVE-2025-14305
Řešení Acer ControlCenter obsahuje komponentu, která běží jako služba jako uživatel NT AUTHORITY\SYSTEM. Tento proces vystavuje Windows Named Pipe pomocí vlastního protokolu pro volání funkcí v rámci služby. Služba neomezuje, které spustitelné soubory mohou být spuštěny, ani nebrání uživatelům s nižšími právy v interakci s výše uvedeným pojmenovaným potrubím, přičemž volajícím umožňuje ovládat příznaky, které určují, na jaké uživatelské úrovni bude libovolná binární složka spuštěna.
Jeden z příkazů podporovaných ve službě Named Pipe umožňuje vyvolat libovolné binární soubory od uživatele s nízkými právy ve zvýšeném kontextu.
Rozsah dopadu
Acer Software řídicího centra
Rozlišení
Acer vydala novou verzi aplikace Acer Control Center, která tento problém řeší. Nejnovější verzi aplikace Acer Control Center pro vaše zařízení najdete na našem webu. Ovladače a příručky na místě.
Kredit
Acer děkujeme Leonu Jacobsovi ze společnosti Orange Cyber Defense za nahlášení tohoto problému.
Odmítnutí odpovědnosti
VÝŠE UVEDENÉ INFORMACE JSOU V SOUVISLOSTI S PRODUKTY ACER A INTEL® POSKYTOVÁNY "TAK, JAK JSOU". INFORMACE NEBO MATERIÁLY ODKAZOVANÉ Z TÉTO STRÁNKY POUŽÍVÁTE NA VLASTNÍ NEBEZPEČÍ. ACER SPOLEČNOST INTEL SI VYHRAZUJE PRÁVO TUTO STRÁNKU KDYKOLI ZMĚNIT NEBO AKTUALIZOVAT.
