Escalada de privilegios en Chocolatey Boxstarter

El instalador de Chocolatey Boxstarter falla al establecer una lista de control de acceso seguro (ACL) en el directorio C:\ProgramData\Boxstarter, que se añade a la variable de entorno PATH del sistema. La vulnerabilidad podría permitir a un atacante la escalada de privilegios, ya que cualquier ubicación en la variable de entorno PATH de todo el sistema, puede utilizarse para cargar código que se ejecuta con privilegios. Se ha asignado el identificador CVE-2020-15264 para esta vulnerabilidad.