Katalog CVE

CVE-2026-8049

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.09%

Percentyl 0 — wyżej niż 0% wszystkich znanych CVE

Streszczenie

W SignalRGB w wersjach starszych niż 1.3.7.0 obiekt urządzenia \.\SignalIo został utworzony bez jawnego deskryptora zabezpieczeń SDDL oraz bez flagi FILE_DEVICE_SECURE_OPEN. Powoduje to nadmiernie liberalną domyślną kontrolę dostępu, umożliwiając każdemu uwierzytelnionemu użytkownikowi lokalnemu uzyskanie uchwytu do urządzenia i wysyłanie uprzywilejowanych żądań IOCTL.

Ocena ryzyka

Ryzyko polega na tym, że atakujący z dostępem lokalnym może przejąć kontrolę nad urządzeniem SignalRGB, co może prowadzić do eskalacji uprawnień lub nieautoryzowanego dostępu do funkcji sprzętowych.

Rekomendacja

Zaleca się natychmiastową aktualizację SignalRGB do wersji 1.3.7.0 lub nowszej, która zawiera poprawkę zabezpieczeń.

Oryginalny opis (angielski, źródło NVD)

In SignalRGB versions prior to 1.3.7.0, the \\.\SignalIo device object is created without an explicit SDDL security descriptor and without FILE_DEVICE_SECURE_OPEN. This results in overly permissive default access control, allowing any authenticated local user to obtain a handle to the device and issue privileged IOCTLs.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS