Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2026-14960

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-269 Gestión de privilegios incorrecta
Fecha de publicación:
15/07/2026
Última modificación:
16/07/2026

Descripción

*** Pendiente de traducción *** Pegatron `Tdelo64.sys` improperly exposes privileged hardware access functionality through the `\\.\TdeIo` device interface. IOCTL handlers including `TDE_IOCTL_INDEXIO_READ` and `TDE_IOCTL_INDEXIO_WRITE` permit unprivileged user-mode callers to perform arbitrary hardware I/O port reads and writes without authorization checks. A local attacker can abuse this functionality to manipulate hardware registers, tamper with firmware-related interfaces, cause system instability, or establish persistent low-level compromise.

Referencias a soluciones, herramientas e información