Vulnerabilidad en GV-Edge Recording Manager de GeoVision (CVE-2026-4606)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
23/03/2026
Última modificación:
23/03/2026
Descripción
GV Edge Recording Manager (ERM) v2.3.1 ejecuta incorrectamente los componentes de la aplicación con privilegios de nivel SYSTEM, permitiendo a cualquier usuario local obtener control total del sistema operativo.<br />
<br />
Durante la instalación, ERM crea un servicio de Windows que se ejecuta bajo la cuenta LocalSystem.<br />
<br />
Cuando se inicia la aplicación ERM, se generan procesos relacionados bajo privilegios SYSTEM en lugar del contexto de seguridad del usuario que ha iniciado sesión.<br />
<br />
Funciones como &#39;Importar Datos&#39; abren un cuadro de diálogo de archivos de Windows que opera con permisos SYSTEM, lo que permite la modificación o eliminación de archivos y directorios del sistema protegidos.<br />
<br />
Cualquier función de ERM que invoque cuadros de diálogo de abrir/guardar archivos de Windows expone el mismo riesgo.<br />
<br />
Esta vulnerabilidad permite la escalada de privilegios local y puede resultar en un compromiso total del sistema.