El **GIGABYTE Control Center** está siendo objeto de escrutinio debido a una falla de escritura arbitraria de archivos que podría otorgar a atacantes remotos no autenticados acceso a archivos en hosts vulnerables. El fabricante de hardware advierte que la explotación exitosa podría llevar a la ejecución de código, escalada de privilegios y denegación de servicio. ### GIGABYTE Control Center: Una Herramienta de Gestión Centralizada El **GIGABYTE Control Center (GCC)**, preinstalado en muchas de las laptops y placas base de la compañía, está diseñado como una utilidad integral de Windows para gestionar y configurar hardware. Ofrece funciones como monitoreo de hardware, control de ventiladores, ajuste de rendimiento, control de iluminación RGB, actualizaciones de drivers y firmware, y gestión de dispositivos. ### Función de Emparejamiento: El Punto de Entrada para Ataques Una función clave llamada “emparejamiento” permite que la herramienta se comunique con otros dispositivos o servicios a través de la red. Los sistemas con la opción de 'emparejamiento' habilitada en las versiones 25.07.21.01 y anteriores de Control Center son vulnerables. Según el **CERT de Taiwán**, “Cuando la función de emparejamiento está habilitada, los atacantes remotos no autenticados pueden escribir archivos arbitrarios en cualquier ubicación del sistema operativo subyacente, lo que lleva a la ejecución de código arbitrario o escalada de privilegios”. ### CVE-2026-4415: Una Amenaza Crítica La vulnerabilidad, rastreada como **CVE-2026-4415**, fue descubierta por el investigador de seguridad David Sprüngli. Se le ha asignado una calificación de severidad crítica de 9.2 sobre 10 basada en el sistema de puntuación CVSS v4.0. ### Pasos de Mitigación Se recomienda encarecidamente a los usuarios que actualicen a la última versión de Control Center, actualmente 25.12.10.01, que incluye correcciones para la gestión de rutas de descarga, procesamiento de mensajes y cifrado de comandos para mitigar la vulnerabilidad de manera efectiva. **GIGABYTE** ha emitido un boletín de seguridad instando a actualizaciones inmediatas. También se recomienda a los usuarios que descarguen la última versión de GCC directamente del portal de software oficial del proveedor para minimizar el riesgo de encontrar instaladores troyanizados. **BleepingComputer** se comunicó con **GIGABYTE** para obtener más detalles sobre **CVE-2026-4415**, pero no había recibido respuesta al momento de la publicación.