按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::
發布日期:
字型大小:

ASUS Armoury Crate Service - Arbitrary File Creation via Elevation of Privilege Flaw

TVN ID TVN-202209001
CVE ID CVE-2022-38699
CVSS 5.9 (Medium)
CVSS:3.1/AV:P/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
影響產品 Armoury Crate & Aura Creator Installer軟體安裝包中的程式Armoury Crate Service V5.1.5.0
問題描述 Armoury Crate Service之寫入Log功能未檢查檔案是否被識別為symbolic link,本機端攻擊者以一般使用者權限登入後,將Log檔案內容竄改為symbolic link,觸發此漏洞將Log資料改為寫入到任意系統檔案中,導致系統損毀。
解決方法 Update Armoury Crate Service version to V5.2.10.0
漏洞通報者 ASUS
公開日期 2022-09-15
回頁首