DETAILS KWETSBAARHEID
CVE-2025-14305 - https://www.cve.org/CVERecord?id=CVE-2025-14305
De oplossing Acer ControlCenter bevat een component die draait als een service als de NT AUTHORITYSYSTEM-gebruiker. Dit proces stelt een Windows Named Pipe beschikbaar die een aangepast protocol gebruikt om functies binnen de service aan te roepen. De service beperkt niet welke uitvoerbare bestanden mogen worden uitgevoerd, noch voorkomt het dat gebruikers met lagere rechten interactie hebben met de eerder genoemde Named Pipe, terwijl het bellers toestaat om vlaggen te controleren die bepalen als welk gebruikersniveau een willekeurig binair bestand wordt uitgevoerd.
Een van de commando's die ondersteund worden in service over de Named Pipe maakt het mogelijk om willekeurige binaries aan te roepen van een laag geprivilegieerde gebruiker in een verhoogde context.
Impact Reikwijdte
Acer Software voor controlecentrum
Resolutie
Acer heeft een nieuwe versie van Acer Control Center uitgebracht om dit probleem aan te pakken. Je kunt de nieuwste versie van Acer Control Center voor jouw apparaat vinden op onze Stuurprogramma's en handleidingen site.
Krediet
Acer Bedankt Leon Jacobs van Orange Cyber Defense voor het melden van deze kwestie.
Disclaimer
DE BOVENSTAANDE INFORMATIE WORDT "AS IS" GELEVERD IN VERBAND MET ACER EN INTEL® PRODUCTEN. UW GEBRUIK VAN DE INFORMATIE OF HET MATERIAAL WAARNAAR OP DEZE PAGINA WORDT VERWEZEN, IS VOOR UW EIGEN RISICO. ACER BEHOUDT ZICH HET RECHT VOOR DEZE PAGINA TE ALLEN TIJDE TE WIJZIGEN OF BIJ TE WERKEN.
