Vulnerabilidad en instalador MSI para Splashtop Streamer (CVE-2024-42052)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/07/2024
Última modificación:
20/03/2025
Descripción
El instalador MSI para Splashtop Streamer para Windows anterior a 3.5.8.0 utiliza una carpeta temporal con permisos débiles durante la instalación. Un usuario local puede aprovechar esto para escalar privilegios a SYSTEM colocando un archivo wevtutil.exe en la carpeta.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:splashtop:streamer:*:*:*:*:-:windows:*:* | 3.5.8.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/SpacePlant/Vulns/blob/main/Advisories/2024/1.md
- https://support-splashtopbusiness.splashtop.com/hc/en-us/articles/15813655496603-Splashtop-Streamer-version-v3-5-8-0-for-Windows-released
- https://github.com/SpacePlant/Vulns/blob/main/Advisories/2024/1.md
- https://support-splashtopbusiness.splashtop.com/hc/en-us/articles/15813655496603-Splashtop-Streamer-version-v3-5-8-0-for-Windows-released