The AppServer service installed with Parallel Client searches for an OpenSSL config file in an unsecured location, which allowed low privileged users to escalate their privileges.
CVEs
-
Parallels Client
-
CVE-2025-6812 ‒ Parallels Client Local Privilege Escalation Vulnerability
-
-
Windows SDK
-
Virtual CloneDrive
-
Woodpecker
-
Trend Micro Apex One
-
Check Point Harmony
-
Webroot Endpoint Protection
-
Wazuh
Disclosure Policy
Wir nehmen Responsible Disclosure ernst.
Wir halten uns an die branchenübliche 90+30 Responsible-Disclosure-Regeln. Sobald wir einen Anbieter über eine Sicherheitslücke informieren, räumen wir diesem 90 Tage Zeit ein, um einen Patch zu erstellen und den Nutzern zur Verfügung zu stellen. 30 Tage, nachdem der Patch den Nutzern zur Verfügung gestellt wurde, veröffentlicht Neodyme die Details zur Sicherheitslücke. Wenn der Anbieter ein Problem nicht innerhalb der ersten 90 Tage behebt, behält sich Neodyme das Recht vor, die Details der Sicherheitslücke nach Ablauf der 90 Tage zu veröffentlichen. Der Anbieter hat jedoch die Möglichkeit, auf Anfrage eine zusätzliche 14-tägige Verlängerung der Frist zur Veröffentlichung eines Patches zu erhalten. In einem solchen Fall wird Neodyme die Details der Sicherheitslücke 120 Tage nach der ersten Veröffentlichung bekannt geben. Diese Regelung ist inspiriert von der Responsible Disclosure Policy von Google Project Zero.