CVE-2026-4606
KrytyczneStreszczenie
GV Edge Recording Manager (ERM) w wersji 2.3.1 niewłaściwie uruchamia komponenty aplikacji z uprawnieniami na poziomie SYSTEM, co pozwala każdemu lokalnemu użytkownikowi na uzyskanie pełnej kontroli nad systemem operacyjnym.
Ocena ryzyka
Podatność ta umożliwia eskalację uprawnień lokalnych, co może prowadzić do całkowitego kompromitowania systemu.
Rekomendacja
Zaleca się aktualizację GV Edge Recording Manager do najnowszej wersji, która naprawia tę lukę, oraz ograniczenie dostępu do aplikacji tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
GV Edge Recording Manager (ERM) v2.3.1 improperly runs application components with SYSTEM-level privileges, allowing any local user to gain full control of the operating system. During installation, ERM creates a Windows service that runs under the LocalSystem account. When the ERM application is launched, related processes are spawned under SYSTEM privileges rather than the security context of the logged-in user. Functions such as 'Import Data' open a Windows file dialog operating with SYSTEM permissions, enabling modification or deletion of protected system files and directories. Any ERM function invoking Windows file open/save dialogs exposes the same risk. This vulnerability allows local privilege escalation and may result in full system compromise.

