Vulnerabilidad en instalador MSI para Splashtop Streamer (CVE-2024-42050)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
28/07/2024
Última modificación:
03/09/2025
Descripción
El instalador MSI para Splashtop Streamer para Windows anterior a 3.7.0.0 utiliza una carpeta temporal con permisos débiles durante la instalación. Un usuario local puede aprovechar esto para escalar privilegios a SYSTEM mediante un bloqueo en CredProvider_Inst.reg.
Impacto
Puntuación base 3.x
7.00
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:splashtop:streamer:*:*:*:*:-:windows:*:* | 3.7.0.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/SpacePlant/Vulns/blob/main/Advisories/2024/4.md
- https://support-splashtopbusiness.splashtop.com/hc/en-us/articles/25584410412571--Splashtop-Streamer-version-v3-7-0-0-for-Windows-released
- https://github.com/SpacePlant/Vulns/blob/main/Advisories/2024/4.md
- https://support-splashtopbusiness.splashtop.com/hc/en-us/articles/25584410412571--Splashtop-Streamer-version-v3-7-0-0-for-Windows-released