Twitch Studio версии 0.114.8 и более ранних версий содержит уязвимость повышения привилегий в своем вспомогательном инструменте привилегий, которая позволяет локальным злоумышленникам выполнять произвольный код от имени пользователя root, используя незащищенную службу XPC. Злоумышленники могут вызвать метод installFromPath:toPath:withReply: для перезаписи системных файлов и привилегированных двоичных файлов, достигая полной компрометации системы. Поддержка Twitch Studio была прекращена в мае 2024 года.
Показать оригинальное описание (EN)
Twitch Studio version 0.114.8 and prior contain a privilege escalation vulnerability in its privileged helper tool that allows local attackers to execute arbitrary code as root by exploiting an unprotected XPC service. Attackers can invoke the installFromPath:toPath:withReply: method to overwrite system files and privileged binaries, achieving full system compromise. Twitch Studio was discontinued in May 2024.
Характеристики атаки
Последствия
Строка CVSS v4.0