CVE-2020-37254
Alvorlig

CVE-2020-37254: Sårbarhed i Wondershare PDFelement

Fejl i Wondershare PDFelement 5.2.9 lader lokale angribere overtage hele din Windows-computer med systemrettigheder.

CVSS Score
7.8
Offentliggjort
19/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 7 dage

Hvad er det?

CVE-2020-37254 er en sårbarhed i PDF-programmet Wondershare PDFelement version 5.2.9 til Windows. Fejlen skyldes en såkaldt unquoted service path (en ukorrekt angivet filsti uden anførselstegn) i en Windows-baggrundsservice kaldet WsAppService. Det betyder, at Windows kan snyde sig selv til at køre et forkert program, hvis en angriber placerer en ondsindet fil på den rigtige placering. Angriberen behøver ikke særlige rettigheder på forhånd — blot adgang til computeren som almindelig bruger.

Hvem rammer det?

Sårbarheden rammer virksomheder og brugere, der har Wondershare PDFelement version 5.2.9 installeret på Windows-computere. Det er særligt relevant, hvis:

  • Medarbejdere bruger PDFelement til at redigere eller konvertere PDF-filer
  • Computerne er delte arbejdsstationer, hvor flere brugere logger ind
  • I ikke har opdateret til en nyere version af programmet

Hvad kan ske?

En angriber, der allerede har adgang til computeren som en almindelig bruger (f.eks. via et hacket medarbejderlogin), kan placere et ondsindet program på en bestemt sti på harddisken. Næste gang computeren genstarter eller WsAppService-tjenesten startes igen, kører Windows automatisk det ondsindede program — med de højeste systemrettigheder (LocalSystem). Det svarer til, at angriberen får fuldstændig kontrol over computeren. Derfra kan vedkommende:

  • Stjæle fortrolige filer og adgangskoder
  • Installere yderligere skadelig software, f.eks. ransomware
  • Slette eller kryptere data
  • Sprede sig videre til andre computere på netværket

Hvor alvorligt er det?

Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) af det internationale CVSS-scoringssystem. Det er høj alvor, fordi angriberen opnår fuld kontrol over systemet. Den eneste begrænsende faktor er, at angriberen skal have lokal adgang til computeren i forvejen — det kan dog ske via phishing, et kompromitteret medarbejderlogin eller en allerede inficeret maskine. Fejltypen (CWE-428, unquoted service path) er velkendt og relativt let at udnytte for en erfaren angriber.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed:

  1. Identificér om I bruger programmet: Tjek om Wondershare PDFelement version 5.2.9 er installeret på virksomhedens computere (søg under Indstillinger → Apps i Windows).
  2. Opdatér straks: Opdatér PDFelement til den seneste version via Wondershares hjemmeside eller programmets indbyggede opdateringsfunktion. Den nyeste version indeholder en rettelse af denne fejl.
  3. Afinstallér hvis I ikke bruger det: Hvis I ikke aktivt bruger programmet, så afinstallér det for at fjerne risikoen helt.
  4. Begræns brugerrettigheder: Sørg for at medarbejdere kun har de rettigheder de har brug for — en standard-bruger bør ikke kunne skrive til systemstier.
  5. Tjek for mistænkelig aktivitet: Hvis I er bekymrede for om en angriber allerede har udnyttet fejlen, så kontakt en IT-sikkerhedskonsulent.
Tidsfrist

Opdatér inden for 7 dage

Sådan ser Auroa det

Opdatér Wondershare PDFelement til den nyeste version hurtigst muligt — det er den mest direkte løsning. Unquoted service path-fejl er en af de angrebstyper, der er lettest at udnytte for en angriber med lokal adgang, og den type adgang opnås ofte via phishing. Overvej samtidig at gennemgå hvilke programmer der er installeret på jeres computere, og afinstallér alt I ikke aktivt bruger. Kontakt os gerne, hvis I har brug for hjælp til at vurdere jeres eksponering.

Tidslinje

19/06/2026
CVE offentliggjort i NVD
Sårbarheden CVE-2020-37254 blev officielt registreret og offentliggjort i NVD (National Vulnerability Database). Fejlen i Wondershare PDFelement 5.2.9 blev dermed kendt for offentligheden.
19/06/2026
Proof-of-concept tilgængeligt
Unquoted service path-sårbarheder af denne type er veldokumenterede, og der eksisterer offentligt tilgængelige vejledninger og værktøjer til at udnytte dem. Angribere med begrænset teknisk erfaring kan udnytte fejlen.
19/06/2026
Rettelse tilgængelig via opdatering
Wondershare har udgivet nyere versioner af PDFelement, der ikke indeholder denne fejl. Brugere opfordres til straks at opdatere til den seneste version via programmets opdateringsfunktion eller Wondershares hjemmeside.

Konkrete eksempler

Angriber via stjålet medarbejderlogin

En medarbejder klikker på et phishing-link og afslører sine Windows-loginoplysninger. Angriberen logger ind på medarbejderens computer med normale brugerrettigheder og placerer et ondsindet program på den sti, som WsAppService-tjenesten fejlagtigt vil forsøge at køre. Ved næste genstart af computeren kører Windows det ondsindede program med fulde systemrettigheder, og angriberen overtager maskinen fuldstændigt.

Intern trussel fra misfornøjet medarbejder

En medarbejder med adgang til en delt arbejdsstation ønsker at eskalere sine rettigheder for at tilgå fortrolige filer. Vedkommende udnytter PDFelement-sårbarheden til at placere et lille script på den relevante systemsti. Næste gang en administrator genstarter maskinen, kører scriptet med fuld systemkontrol og giver medarbejderen adgang til hele computeren.

Ransomware-spredning via kompromitteret maskine

En computer i virksomheden er allerede inficeret med skadelig software, der har normale brugerrettigheder. Den skadelige software identificerer automatisk, at PDFelement 5.2.9 er installeret, og udnytter unquoted service path-fejlen til at installere ransomware med systemrettigheder. Ved næste genstart krypteres alle filer på computeren, og ransomwaren forsøger at sprede sig til andre maskiner på netværket.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-428

Original NVD-beskrivelse (engelsk)

Wondershare PDFelement 5.2.9 contains a privilege escalation vulnerability due to an unquoted service path in the WsAppService Windows service. Local attackers can place a malicious executable in the service path and execute code with LocalSystem privileges upon service restart or system reboot.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.8
Visning
Hurtige fakta
CVE-ID
CVE-2020-37254
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.