PT-2024-21987 · Grasssoft · Macro Expert
Alaa Kachouh
·
Publicado
2024-04-03
·
Atualizado
2026-01-30
·
CVE-2024-27674
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Macro Expert versões 4.9.4 e anteriores
Descrição
A vulnerabilidade permite que um usuário sem privilégios obtenha privilégios de SISTEMA ao substituir o arquivo binário MacroService.exe, devido a um controle de acesso inadequado. A pasta “%PROGRAMFILES(X86)%GrassSoftMacro Expert” possui acesso BUILTINUsers:(OI)(CI)(M), possibilitando essa escalada.
Recomendações
Para as versões 4.9.4 e anteriores do Macro Expert, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Macro Expert