PT-2022-20650 · Gog · Gog Galaxy
Sec77
·
Publicado
2022-08-17
·
Atualizado
2022-12-31
·
CVE-2022-31262
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
GOG Galaxy, versões 2.0.46 a 2.0.51
Descrição
Existe uma vulnerabilidade que permite a escalada de privilégios local devido a permissões insuficientes nas pastas. Um invasor pode assumir o controle da estrutura da pasta %ProgramData%GOG.com e substituir o executável do serviço GalaxyCommunication por um arquivo malicioso, resultando na execução de código com privilégios de SYSTEM.
Recomendações
Para as versões 2.0.46 a 2.0.51 do GOG Galaxy, considere restringir o acesso ao serviço GalaxyCommunication para minimizar o risco de exploração até que uma correção esteja disponível. Como solução alternativa temporária, desativar o serviço GalaxyCommunication pode evitar o problema, mas isso pode afetar a funcionalidade do GOG Galaxy. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Improper Preservation of Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gog Galaxy