Vulnerabilidad en WPS Office (CVE-2025-2516)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

CWE-326 Fortaleza de cifrado inadecuada

Fecha de publicación:

27/03/2025

Última modificación:

27/03/2025

Descripción

El uso de un par de claves criptográficas débiles en el proceso de verificación de firmas de WPS Office (Kingsoft) en Windows permite que un atacante que haya recuperado la clave privada firme componentes. Dado que las versiones anteriores de WPS Office no validaban el certificado del servidor de actualizaciones, era posible un ataque de intermediario que permitiera el secuestro de actualizaciones.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/U:Amber CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.50 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/U:Amber

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto
Provider Urgency (U): Amber

Puntuación base 4.0

9.50

Gravedad 4.0

CRÍTICA

Referencias a soluciones, herramientas e información

https://www.welivesecurity.com/en/eset-research/nspx30-sophisticated-aitm-enabled-implant-evolving-since-2005/