Katalog CVE

CVE-2016-20094

WysokieCVSS 7.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 2 - wyżej niż 2% wszystkich znanych CVE

Streszczenie

AnyDesk w wersji 2.5.0 zawiera podatność związaną z niecytowaną ścieżką usługi, która umożliwia lokalnym użytkownikom wykonanie dowolnego kodu z uprawnieniami SYSTEM poprzez wykorzystanie instalacji usługi. Atakujący mogą umieścić złośliwe pliki wykonywalne w ścieżce głównej systemu, które są uruchamiane z podwyższonymi uprawnieniami podczas uruchamiania aplikacji lub restartu systemu.

Ocena ryzyka

Ryzyko polega na możliwości eskalacji uprawnień przez lokalnego atakującego do poziomu SYSTEM, co może prowadzić do pełnego przejęcia kontroli nad systemem i dostępu do wrażliwych danych.

Rekomendacja

Zaleca się natychmiastową aktualizację AnyDesk do najnowszej wersji, która usuwa tę podatność, oraz sprawdzenie, czy ścieżki usług są poprawnie cytowane w konfiguracji systemu.

Oryginalny opis (angielski, źródło NVD)

AnyDesk 2.5.0 contains an unquoted service path vulnerability that allows local users to execute arbitrary code with SYSTEM privileges by exploiting the service installation. Attackers can insert malicious executables in the system root path that execute with elevated privileges during application startup or system reboot.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS