安全通告 - 华为PC产品存在认证绕过漏洞
- 预警编号:Huawei-SA-20250325-01-PC-cn
- 初始发布时间: 2025-03-26
- 更新发布时间: 2025-03-26
华为PC产品存在低权限用户绕过SDDL设置的权限检查漏洞,成功利用这个漏洞可能导致部分系统进程被终止。(漏洞编号:HWPSIRT-2023-15366)
此漏洞已经分配了(CVE)ID:CVE-2023-52972
|
受影响产品 (发布) |
受影响版本 |
修补版本 |
|
YutuFZ-5651S1 |
YutuFZ-5651S1 SenaryAudio 3.31.2.0 |
OTA-YutuFZ-SenaryAudio-3.31.2.9(SP01) |
HWPSIRT-2023-15366:
此安全漏洞被利用后,可能导致部分系统进程被终止, 无法正常工作。
漏洞使用CVSSv3.1计分系统进行评分,详细评分标准请参考:https://www.first.org/cvss/specification-document。
HWPSIRT-2023-15366:
基础得分:5.5
临时得分:5.5
环境得分:NA
CVSS v3.1 Vector: AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/E:X/RL:X/RC:X
HWPSIRT-2023-15366:
利用漏洞发起攻击的预置条件:
需要将特定的攻击工具程序安装到电脑上,用户执行该攻击程序
技术细节:
华为PC产品存在低权限用户绕过SDDL设置的权限检查漏洞,该漏洞是由于访问控制不当造成的,攻击者需要在本地电脑安装攻击程序利用漏洞。成功利用漏洞可能会导致电脑部分系统进程被终止。
无
HWPSIRT-2023-15366:
该漏洞为外部研究者上报。
无
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
获取华为公司安全应急响应服务及华为产品漏洞信息,请访问http://www.huawei.com/cn/psirt。
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com,详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities。
