Omisión de autorización en GAMS de GAMS Development Corp
GAMS: 49.6.0 y versiones anteriores.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a GAMS de GAMS Development Corp, herramienta para la creación de modelos matemáticos. La vulnerabilidad ha sido descubierta por Francisco Guerrero Gallardo y Juan Embid Sánchez.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-41086: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N | CWE-639
La vulnerabilidad ha sido solucionada en la versión GAMS 51.
CVE-2025-41086: vulnerabilidad en el sistema de control de acceso del sistema de licencias GAMS que permite generar licencias válidas ilimitadas, eludiendo cualquier restricción de uso. El validador emplea un algoritmo de suma de comprobación inseguro; conociendo este algoritmo y el formato de las líneas de la licencia, un atacante puede recalcular la suma de comprobación y generar una licencia válida para otorgarse a sí mismo privilegios completos sin credenciales ni acceso al código fuente, lo que le permite un acceso sin restricciones a los modelos matemáticos y solucionadores comerciales de GAMS.
