CVE-2020-37252
WysokieCVSS 7.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
Usługa audio Realtek w wersji 1.0.0.55 zawiera lukę w postaci niecytowanej ścieżki usługi w pliku RtkAudioService64.exe, co pozwala lokalnym atakującym na eskalację uprawnień poprzez wstrzykiwanie złośliwego kodu.
Ocena ryzyka
Atakujący mogą umieścić pliki wykonywalne w katalogu z niecytowaną ścieżką usługi, co umożliwia wykonanie dowolnego kodu z uprawnieniami LocalSystem podczas uruchamiania usługi lub ponownego uruchamiania systemu.
Rekomendacja
Zaleca się poprawienie ścieżki usługi, aby była ona odpowiednio cytowana, oraz monitorowanie i zabezpieczenie katalogu usługi przed nieautoryzowanym dostępem.
Oryginalny opis (angielski, źródło NVD)
Realtek Audio Service 1.0.0.55 contains an unquoted service path vulnerability in RtkAudioService64.exe that allows local attackers to escalate privileges by injecting malicious code. Attackers can place executable files in the unquoted service path directory to execute arbitrary code with LocalSystem privileges during service startup or system reboot.

