Vulnerabilidad en EPSON Printer Controller Installer (CVE-2025-4960)

La herramienta com.epson.InstallNavi.helper, desplegada con el instalador del controlador de impresora EPSON, contiene una vulnerabilidad de escalada de privilegios local debido a múltiples fallos en su implementación. No autentica correctamente a los clientes a través del protocolo XPC y no aplica correctamente el modelo de autorización de macOS, exponiendo funcionalidad privilegiada a usuarios no confiables. Aunque invoca la API AuthorizationCopyRights, lo hace utilizando derechos personalizados excesivamente permisivos que registra en la base de datos de autorización del sistema (/var/db/auth.db).<br /> <br /> Estos derechos pueden ser solicitados y concedidos por el demonio de autorización a cualquier usuario local, independientemente del nivel de privilegio. Como resultado, un atacante puede explotar el servicio vulnerable para realizar operaciones privilegiadas, como ejecutar comandos arbitrarios o instalar componentes del sistema sin requerir credenciales administrativas.