Katalog CVE

CVE-2026-9489

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w oprogramowaniu NitroSense w wersjach 3.x przed 3.01.3052 umożliwia lokalną eskalację uprawnień. Program udostępnia nieprawidłowo skonfigurowaną nazwaną potok (Named Pipe), co pozwala każdemu uwierzytelnionemu użytkownikowi lokalnemu na wykonanie dowolnego kodu z uprawnieniami SYSTEM oraz usunięcie dowolnych plików z tymi samymi uprawnieniami.

Ocena ryzyka

Atakujący może przejąć pełną kontrolę nad systemem, wykonując kod z najwyższymi uprawnieniami, co prowadzi do całkowitej kompromitacji poufności, integralności i dostępności danych.

Rekomendacja

Należy niezwłocznie zaktualizować NitroSense do wersji 3.01.3052 lub nowszej, która usuwa tę podatność.

Oryginalny opis (angielski, źródło NVD)

NitroSense 3.x before 3.01.3052 contains Local Privilege Escalation (LPE) vulnerability.The program exposes a Windows Named Pipe that uses a custom protocol to invoke internal functions. However, this Named Pipe is misconfigured, allowing any authenticated local user to execute arbitrary code with NT AUTHORITY\SYSTEM privileges and to delete arbitrary files with SYSTEM privileges. By leveraging this, an attacker can execute arbitrary code on the target system with elevated privileges.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS