CVE-2026-24065
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 - wyżej niż 20% wszystkich znanych CVE
Streszczenie
Waves Central dla macOS w wersjach od 13.0.9 do 16.5.5 zawiera podatność na eskalację uprawnień lokalnych w usłudze pomocniczej. Atakujący może wykorzystać warunek wyścigu, co pozwala na wykonanie dowolnego kodu z uprawnieniami roota.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa systemu, umożliwiając lokalnym atakującym uzyskanie pełnych uprawnień do systemu.
Rekomendacja
Zaleca się aktualizację do wersji 16.6.2 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Waves Central for macOS versions 13.0.9 through 16.5.5 contain a local privilege escalation vulnerability in the privileged helper service. The helper validates connecting XPC clients using the client process identifier (PID) to verify code-signing identity. Because process identifiers can be reused, a local attacker can exploit a race condition between the time a connection request is made and the time the helper performs validation, causing the helper to trust an attacker-controlled process. This allows the attacker to invoke privileged operations, resulting in arbitrary code execution as root. The issue is fixed in version 16.6.2.

