CVE-2022-32450 – AnyDesk 7.0.9 Arbitrary File Write / Denial Of Service
https://notcve.org/view.php?id=CVE-2022-32450
AnyDesk 7.0.9 allows a local user to gain SYSTEM privileges via a symbolic link because the user can write to their own %APPDATA% folder (used for ad.trace and chat) but the product runs as SYSTEM when writing chat-room data there. AnyDesk versión 7.0.9, permite a un usuario local conseguir privilegios de SYSTEM por medio de un enlace simbólico, ya que el usuario puede escribir en su propia carpeta %APPDATA% (usada para ad.trace y el chat), pero el producto es ejecutado como SYSTEM cuando son escritos allí los datos de la sala de chat AnyDesk version 7.0.9 suffers from an arbitrary file write vulnerability via a symlink attack. • http://anydesk.com http://packetstormsecurity.com/files/167608/AnyDesk-7.0.9-Arbitrary-File-Write-Denial-Of-Service.html http://seclists.org/fulldisclosure/2022/Jul/9 https://seclists.org/fulldisclosure/2022/Jun/44 • CWE-59: Improper Link Resolution Before File Access ('Link Following') •