CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-8049

MediumCVSS 5.3
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.09%

0th percentile — higher than 0% of all known CVEs

Summary

W SignalRGB w wersjach starszych niż 1.3.7.0 obiekt urządzenia \.\SignalIo został utworzony bez jawnego deskryptora zabezpieczeń SDDL oraz bez flagi FILE_DEVICE_SECURE_OPEN. Powoduje to nadmiernie liberalną domyślną kontrolę dostępu, umożliwiając każdemu uwierzytelnionemu użytkownikowi lokalnemu uzyskanie uchwytu do urządzenia i wysyłanie uprzywilejowanych żądań IOCTL.

Risk Assessment

Ryzyko polega na tym, że atakujący z dostępem lokalnym może przejąć kontrolę nad urządzeniem SignalRGB, co może prowadzić do eskalacji uprawnień lub nieautoryzowanego dostępu do funkcji sprzętowych.

Recommendation

Zaleca się natychmiastową aktualizację SignalRGB do wersji 1.3.7.0 lub nowszej, która zawiera poprawkę zabezpieczeń.

Original NVD description (English source)

In SignalRGB versions prior to 1.3.7.0, the \\.\SignalIo device object is created without an explicit SDDL security descriptor and without FILE_DEVICE_SECURE_OPEN. This results in overly permissive default access control, allowing any authenticated local user to obtain a handle to the device and issue privileged IOCTLs.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS