DETALLES DE LA VULNERABILIDAD
CVE-2025-14305 - https://www.cve.org/CVERecord?id=CVE-2025-14305
La solución Acer ControlCenter contiene un componente que se ejecuta como un servicio con el usuario NT AUTHORITY\SYSTEM. Este proceso expone un Windows Named Pipe utilizando un protocolo personalizado para invocar funciones dentro del servicio. El servicio no restringe los ejecutables que se pueden ejecutar, ni impide que los usuarios con menos privilegios interactúen con el mencionado Named Pipe, a la vez que permite a los que llaman controlar los indicadores que determinan el nivel de usuario con el que se ejecutará un binario arbitrario.
Uno de los comandos soportados en el servicio sobre el Named Pipe hace posible invocar binarios arbitrarios desde un usuario con pocos privilegios en un contexto elevado.
Alcance del impacto
Acer Software del Centro de Control
Resolución
Acer ha lanzado una nueva versión de Acer Control Center para solucionar este problema. Puede encontrar la última versión de Acer Control Center para su dispositivo en nuestro Controladores y manuales sitio.
Crédito
Acer gracias a Leon Jacobs de Orange Cyber Defense por informar de este problema.
Descargo de responsabilidad
LA INFORMACIÓN ANTERIOR SE PROPORCIONA "TAL CUAL" EN RELACIÓN CON LOS PRODUCTOS ACER E INTEL®. EL USO QUE USTED HAGA DE LA INFORMACIÓN O LOS MATERIALES ENLAZADOS DESDE ESTA PÁGINA ES POR SU CUENTA Y RIESGO. ACER SE RESERVA EL DERECHO A MODIFICAR O ACTUALIZAR ESTA PÁGINA EN CUALQUIER MOMENTO.
