DETALHES DA VULNERABILIDADE
CVE-2025-14305 - https://www.cve.org/CVERecord?id=CVE-2025-14305
A solução Acer ControlCenter contém um componente executado como um serviço como o usuário NT AUTHORITY\SYSTEM. Esse processo expõe um Windows Named Pipe usando um protocolo personalizado para invocar funções dentro do serviço. O serviço não restringe quais executáveis podem ser executados, nem impede que usuários com menos privilégios interajam com o Named Pipe mencionado anteriormente, permitindo que os chamadores controlem os sinalizadores que determinam o nível de usuário em que um binário arbitrário será executado.
Um dos comandos suportados no serviço pelo Named Pipe permite invocar binários arbitrários de um usuário com pouco privilégio em um contexto elevado.
Escopo do impacto
Acer Software do centro de controle
Resolução
Acer lançou uma nova versão do Acer Control Center para resolver esse problema. Você pode encontrar a versão mais recente do Acer Control Center para seu dispositivo em nosso Drivers e manuais local.
Crédito
Acer Agradecemos a Leon Jacobs, da Orange Cyber Defense, por relatar esse problema.
Isenção de responsabilidade
AS INFORMAÇÕES ACIMA SÃO FORNECIDAS "NO ESTADO EM QUE SE ENCONTRAM" EM RELAÇÃO AOS PRODUTOS ACER E INTEL®. O USO DAS INFORMAÇÕES OU DOS MATERIAIS VINCULADOS A ESTA PÁGINA É FEITO POR SUA PRÓPRIA CONTA E RISCO. ACER A INTEL® SE RESERVA O DIREITO DE ALTERAR OU ATUALIZAR ESTA PÁGINA A QUALQUER MOMENTO.
