CVE-2026-54424
WysokieCVSS 8.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
Podatność w Unity Parsec na systemie Windows umożliwia eskalację uprawnień poprzez nieprawidłowe użycie interfejsów API z uprzywilejowanymi uprawnieniami. Problem dotyczy wersji do v2026-05-04.0 włącznie, a załatana wersja to 150-104a. Użytkownik może doprowadzić do uruchomienia procesu parsecd.exe jako NT AUTHORITY\SYSTEM z kontrolowaną przez siebie wartością zmiennej środowiskowej AppData.
Ocena ryzyka
Atakujący może uzyskać pełną kontrolę nad systemem Windows, wykonując kod w kontekście konta SYSTEM, co prowadzi do przejęcia hosta i dostępu do wrażliwych danych.
Rekomendacja
Niezwłocznie zaktualizuj Parsec dla Windows do wersji 150-104a lub nowszej. Ogranicz dostęp do aplikacji tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
An Incorrect Use of Privileged APIs vulnerability in Unity Parsec on Windows hosts leads to a potential Elevation of Privilege. This issue affects Parsec through v2026-05-04.0. The patched version is Parsec for Windows version 150-104a. A user can generate a situation where there is an instance of parsecd.exe running as NT AUTHORITY\SYSTEM with a user-controlled value of the AppData environment variable.

