CVE-2026-8049
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 0 — wyżej niż 0% wszystkich znanych CVE
Streszczenie
W SignalRGB w wersjach starszych niż 1.3.7.0 obiekt urządzenia \.\SignalIo został utworzony bez jawnego deskryptora zabezpieczeń SDDL oraz bez flagi FILE_DEVICE_SECURE_OPEN. Powoduje to nadmiernie liberalną domyślną kontrolę dostępu, umożliwiając każdemu uwierzytelnionemu użytkownikowi lokalnemu uzyskanie uchwytu do urządzenia i wysyłanie uprzywilejowanych żądań IOCTL.
Ocena ryzyka
Ryzyko polega na tym, że atakujący z dostępem lokalnym może przejąć kontrolę nad urządzeniem SignalRGB, co może prowadzić do eskalacji uprawnień lub nieautoryzowanego dostępu do funkcji sprzętowych.
Rekomendacja
Zaleca się natychmiastową aktualizację SignalRGB do wersji 1.3.7.0 lub nowszej, która zawiera poprawkę zabezpieczeń.
Oryginalny opis (angielski, źródło NVD)
In SignalRGB versions prior to 1.3.7.0, the \\.\SignalIo device object is created without an explicit SDDL security descriptor and without FILE_DEVICE_SECURE_OPEN. This results in overly permissive default access control, allowing any authenticated local user to obtain a handle to the device and issue privileged IOCTLs.

