DETTAGLI SULLA VULNERABILITÀ
CVE-2025-14305 - https://www.cve.org/CVERecord?id=CVE-2025-14305
La soluzione Acer ControlCenter contiene un componente in esecuzione come servizio come utente NT AUTHORITY\SYSTEM. Questo processo espone una Named Pipe Windows utilizzando un protocollo personalizzato per invocare le funzioni all'interno del servizio. Il servizio non limita gli eseguibili che possono essere eseguiti, né impedisce agli utenti con privilegi inferiori di interagire con il Named Pipe di cui sopra, pur consentendo ai chiamanti di controllare i flag che determinano il livello di utente con cui un binario arbitrario verrà eseguito.
Uno dei comandi supportati nel servizio su Named Pipe consente di invocare binari arbitrari da un utente con privilegi bassi in un contesto elevato.
Ambito di impatto
Acer Software del centro di controllo
Risoluzione
Acer ha rilasciato una nuova versione di Acer Control Center per risolvere questo problema. È possibile trovare la versione più recente di Acer Control Center per il proprio dispositivo sul nostro sito web Driver e manuali sito.
Credito
Acer Si ringrazia Leon Jacobs di Orange Cyber Defense per aver segnalato questo problema.
Esclusione di responsabilità
LE INFORMAZIONI DI CUI SOPRA SONO FORNITE "COSÌ COME SONO" IN RELAZIONE AI PRODOTTI ACER E INTEL®. L'USO DELLE INFORMAZIONI O DEI MATERIALI COLLEGATI A QUESTA PAGINA È A RISCHIO DELL'UTENTE. ACER SI RISERVA IL DIRITTO DI MODIFICARE O AGGIORNARE QUESTA PAGINA IN QUALSIASI MOMENTO.
