CVE-2026-8049
MediumCVSS 5.3Exploitation Probability (EPSS)
Low risk0th percentile — higher than 0% of all known CVEs
Summary
W SignalRGB w wersjach starszych niż 1.3.7.0 obiekt urządzenia \.\SignalIo został utworzony bez jawnego deskryptora zabezpieczeń SDDL oraz bez flagi FILE_DEVICE_SECURE_OPEN. Powoduje to nadmiernie liberalną domyślną kontrolę dostępu, umożliwiając każdemu uwierzytelnionemu użytkownikowi lokalnemu uzyskanie uchwytu do urządzenia i wysyłanie uprzywilejowanych żądań IOCTL.
Risk Assessment
Ryzyko polega na tym, że atakujący z dostępem lokalnym może przejąć kontrolę nad urządzeniem SignalRGB, co może prowadzić do eskalacji uprawnień lub nieautoryzowanego dostępu do funkcji sprzętowych.
Recommendation
Zaleca się natychmiastową aktualizację SignalRGB do wersji 1.3.7.0 lub nowszej, która zawiera poprawkę zabezpieczeń.
Original NVD description (English source)
In SignalRGB versions prior to 1.3.7.0, the \\.\SignalIo device object is created without an explicit SDDL security descriptor and without FILE_DEVICE_SECURE_OPEN. This results in overly permissive default access control, allowing any authenticated local user to obtain a handle to the device and issue privileged IOCTLs.

