PT-2026-38323 · Anthropic · Claude Desktop
Piquo
·
Publicado
2026-05-06
·
Atualizado
2026-06-02
·
CVE-2026-44470
CVSS v4.0
8.5
Alta
| Vetor | AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Claude Desktop for Windows versões anteriores a 1.3834.0
Descrição
O componente
CoworkVMService é executado como SYSTEM e não valida se o diretório do pacote VM é um diretório real ou uma junção de diretório NTFS antes de criar arquivos nele. Um usuário local sem privilégios pode substituir o diretório do pacote VM, que permite gravação pelo usuário, por uma junção apontando para um local escolhido pelo invasor, fazendo com que o serviço crie um arquivo de propriedade do SYSTEM em um diretório arbitrário. Essa falha pode ser explorada para escalonamento de privilégios locais, que é o processo de obter permissões de nível superior em um sistema do que aquelas originalmente atribuídas ao usuário.Recomendações
Atualize para a versão 1.3834.0.
Correção
LPE
Improper Privilege Management
Link Following
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Claude Desktop