Vulnerabilidad en Acer ControlCenter (CVE-2025-5491)

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-269 Gestión de privilegios incorrecta

Fecha de publicación:

13/06/2025

Última modificación:

16/06/2025

Descripción

Acer ControlCenter contiene una vulnerabilidad de ejecución remota de código. El programa expone una canalización con nombre de Windows que utiliza un protocolo personalizado para invocar funciones internas. Sin embargo, esta canalización con nombre está mal configurada, lo que permite a usuarios remotos con privilegios bajos interactuar con ella y acceder a sus funciones. Una de estas funciones permite la ejecución de programas arbitrarios como NT AUTHORITY/SYSTEM. Al aprovechar esto, los atacantes remotos pueden ejecutar código arbitrario en el sistema objetivo con privilegios elevados.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.70 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

8.70

Gravedad 4.0

ALTA

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Vulnerabilidad en Acer ControlCenter (CVE-2025-5491)

Descripción

Impacto

Referencias a soluciones, herramientas e información