Обзор

Японската компания Keiyo System Co., LTD обяви наличие на сериозна уязвимост в своя софтуерен продукт PC Time Tracer, предназначен за мониторинг и анализ на потребителска активност. Уязвимостта произтича от неправилни настройки на файловите разрешения в по-стари версии на софтуера и носи висок риск за системите, върху които е инсталиран.

Засегнати продукти

• PC Time Tracer, всички версии преди 5.2

Описание на уязвимостта

Уязвимостта се класифицира като „Incorrect Default Permissions“ (CWE-276). Това означава, че софтуерът инсталира или създава файлове и директории с прекалено широки права за достъп. В конкретния случай, локален потребител с ограничени права може да използва тези неправилни настройки, за да модифицира файлове и в крайна сметка да изпълни произволен код с административни (SYSTEM) права.

Уязвимостта е регистрирана под идентификатор CVE-2025-46355.

CVSS оценки:

• CVSS v4.0: 7.0 (High)

• CVSS v3.0: 7.3 (High)

  • Вектор: AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Потенциално въздействие

Атакуващ с локален достъп до засегнат компютър може:

• Да замени или модифицира ключови файлове на приложението;

• Да внедри зловреден код;

• Да придобие пълен контрол върху системата, включително изпълнение на код с привилегии на SYSTEM — най-високото ниво в Windows.

Препоръчително решение

Незабавно обновяване!
Потребителите трябва да актуализират PC Time Tracer до последната версия (5.2 или по-нова), както е посочено от Keiyo System Co., LTD.

Официалният доклад на разработчика (на японски език) съдържа подробности относно решението и мерките за защита.

Координация и отговорна отчетност

Откритието и докладването на уязвимостта са дело на Руслан Сайфиев и Масахиро Кавада от компанията GMO Cybersecurity by Ierae, Inc., в сътрудничество с JPCERT/CC и IPA под егидата на японското Партньорство за ранно предупреждение в информационната сигурност.

Източник: JPCERT/CC, JVN, CVE-2025-46355