Luka występuje z powodu odczytu poza zakresem w procedurze obsługi komunikatu WM_COPYDATA COPYDATA_FULL_CMDLINE podczas przetwarzania nieprawidłowego komunikatu WM_COPYDATA. Proces lokalny może wysłać specjalnie spreparowany komunikat IPC, powodując odmowę usługi.
Numer CVE
CVE-2026-48778
Krytyczność
7.8/10
CVSS
AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Opis
Luka występuje z powodu wstrzyknięcia polecenia w interpreterze wiersza poleceń (commandLineInterpreter) w pliku config.xml podczas otwierania folderu zawierającego ten komunikat w cmd. Zdalny atakujący może podać spreparowaną wartość pliku config.xml w celu wykonania dowolnego kodu.
Numer CVE
CVE-2026-48800
Krytyczność
7.8/10
CVSS
AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis
Luka występuje z powodu wstrzyknięcia polecenia (command injection) w obsługę UserCommand w pliku shortcuts.xml podczas przetwarzania wpisów poleceń kontrolowanych przez atakującego, gdy użytkownik kliknie odpowiednią pozycję menu Uruchom. Zdalny atakujący może umieścić spreparowane polecenie w pliku shortcuts.xml w celu wykonania dowolnego kodu.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny