Se han lanzado actualizaciones de seguridad que corrigen dos vulnerabilidades de severidad alta en productos ASUS. Un actor malicioso podría eludir los mecanismos de seguridad, ejecutar código arbitrario o elevar sus privilegios en los sistemas afectados.
Productos afectados
Armoury Crate
- Todas las versiones anteriores a la 6.4.12
ASUS System Control Interface
- Arquitecturas x64, versiones anteriores a la 3.1.59.0
- Arquitecturas ARM, versiones anteriores a la 3.2.60.0
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-7480: con una puntuación de 7.8 en CVSS v4.0. Existe una vulnerabilidad de asignación incorrecta de permisos para un recurso crítico en ASUS System Control Interface. Un actor malicioso local podría aprovechar esta condición mediante una llamada RPC especialmente diseñada para eludir el mecanismo de validación, lo que podría permitir elevar sus privilegios al nivel de SYSTEM y lograr la ejecución de código arbitrario.
CVE-2026-8070: con una puntuación de 7.3 en CVSS v4.0. Existe una vulnerabilidad de asignación incorrecta de permisos para un recurso crítico en un componente del controlador en modo kernel integrado en la aplicación ASUS Armoury Crate. Un actor malicioso local con privilegios de ejecución estándar podría aprovechar esta condición para eludir el mecanismo de validación del controlador, obteniendo acceso no autorizado de lectura y escritura a la memoria física del sistema.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias