Vulnerabilidad en Avira Internet Security (CVE-2026-27749)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
05/03/2026
Última modificación:
05/03/2026
Descripción
Avira Internet Security contiene una vulnerabilidad de deserialización de datos no confiables en el componente System Speedup. El proceso Avira.SystemSpeedup.RealTimeOptimizer.exe, que se ejecuta con privilegios del SISTEMA, deserializa datos de un archivo ubicado en C:\\ProgramData utilizando .NET BinaryFormatter sin implementar validaciones de entrada ni medidas de seguridad para la deserialización. Dado que el archivo puede ser creado o modificado por un usuario local en las configuraciones predeterminadas, un atacante puede proporcionar una carga útil serializada diseñada que sea deserializada por el proceso con privilegios, lo que da lugar a la ejecución de código arbitrario como SYSTEM.
Impacto
Puntuación base 4.0
8.50
Gravedad 4.0
ALTA
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://blog.quarkslab.com/avira-deserialize-delete-and-escalate-the-proper-way-to-use-an-av.html
- https://support.avira.com/hc/en-us/articles/360010656158-Current-Avira-versions
- https://www.avira.com/en/internet-security
- https://www.vulncheck.com/advisories/avira-internet-security-system-speedup-insecure-deserialization