CVE-2016-20094
WysokieCVSS 7.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
AnyDesk w wersji 2.5.0 zawiera podatność związaną z niecytowaną ścieżką usługi, która umożliwia lokalnym użytkownikom wykonanie dowolnego kodu z uprawnieniami SYSTEM poprzez wykorzystanie instalacji usługi. Atakujący mogą umieścić złośliwe pliki wykonywalne w ścieżce głównej systemu, które są uruchamiane z podwyższonymi uprawnieniami podczas uruchamiania aplikacji lub restartu systemu.
Ocena ryzyka
Ryzyko polega na możliwości eskalacji uprawnień przez lokalnego atakującego do poziomu SYSTEM, co może prowadzić do pełnego przejęcia kontroli nad systemem i dostępu do wrażliwych danych.
Rekomendacja
Zaleca się natychmiastową aktualizację AnyDesk do najnowszej wersji, która usuwa tę podatność, oraz sprawdzenie, czy ścieżki usług są poprawnie cytowane w konfiguracji systemu.
Oryginalny opis (angielski, źródło NVD)
AnyDesk 2.5.0 contains an unquoted service path vulnerability that allows local users to execute arbitrary code with SYSTEM privileges by exploiting the service installation. Attackers can insert malicious executables in the system root path that execute with elevated privileges during application startup or system reboot.

