CVE-2016-20093
WysokieCVSS 7.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
Wise Care 365 w wersji 4.27 oraz Wise Disk Cleaner w wersji 9.29 zawierają podatności związane z niecytowanymi ścieżkami usług w WiseBootAssistant oraz SpyHunter 4 Service, co pozwala lokalnym użytkownikom na wykonywanie dowolnego kodu z uprawnieniami SYSTEM.
Ocena ryzyka
Atakujący mogą wprowadzać złośliwe pliki wykonywalne w głównym katalogu systemu, które uruchamiają się podczas startu usługi lub ponownego uruchomienia systemu z podwyższonymi uprawnieniami, co stwarza poważne zagrożenie dla bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację oprogramowania do najnowszych wersji oraz weryfikację i zabezpieczenie ścieżek usług, aby zapobiec możliwości wprowadzenia złośliwego kodu.
Oryginalny opis (angielski, źródło NVD)
Wise Care 365 4.27 and Wise Disk Cleaner 9.29 contain unquoted service path vulnerabilities in the WiseBootAssistant and SpyHunter 4 Service respectively, allowing local users to execute arbitrary code with SYSTEM privileges. Attackers can insert malicious executables in the system root path that execute during service startup or system reboot with elevated privileges.

