Se han descubierto vulnerabilidades de severidad crítica y alta en productos GIGABYTE. Un actor malicioso podría realizar la escritura de archivos arbitrarios, elevar sus privilegios o ejecutar código arbitrario en los sistemas afectados.
Productos afectados
- GIGABYTE Control Center (GCC): versiones 25.07.21.01 y anteriores.
- EasyTune Engine (componente de GCC): versiones anteriores a la 25.12.31.01.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-4415: con una puntuación de 9.2 en CVSS v4.0. Existe una vulnerabilidad de escritura de archivos arbitrarios vinculada a la función de emparejamiento. Un actor malicioso remoto no autenticado podría escribir archivos en cualquier ubicación del sistema operativo subyacente, lo que permite la ejecución de código arbitrario o la escalada de privilegios.
CVE-2026-4416: con una puntuación de 8.5 en CVSS v4.0. Existe una vulnerabilidad de deserialización de datos no confiables en la biblioteca Performance Library. Un actor malicioso local autenticado podría enviar una carga útil serializada maliciosa al servicio EasyTune Engine para lograr una escalada de privilegios en el sistema.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias