PT-2022-12023 · Razer · Razer Synapse
Dr. Oliver Schwarz
+1
·
Publicado
2022-03-23
·
Atualizado
2023-09-18
·
CVE-2021-44226
CVSS v3.1
7.3
Alta
| Vetor | AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Razer Synapse anteriores à 3.7.0228.022817
Descrição
A vulnerabilidade permite a escalada de privilégios porque o Razer Synapse depende do diretório
%PROGRAMDATA%RazerSynapse3Servicebin, mesmo que o diretório %PROGRAMDATA%Razer tenha sido criado por qualquer usuário sem privilégios antes da instalação do Synapse. Um usuário sem privilégios pode ter colocado DLLs de cavalos de Tróia nesse diretório.Recomendações
Para versões anteriores à 3.7.0228.022817, atualize para a versão 3.7.0228.022817 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao diretório
%PROGRAMDATA%RazerSynapse3Servicebin para evitar possíveis explorações.Exploit
Correção
Uncontrolled Search Path Element
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Razer Synapse