Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Heroes of Might and Magic III Complete 4.0.0.0, HD Mod 3.808 build 9 y Demo 1.0.0.0 (CVE-2025-34124)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
16/07/2025
Última modificación:
17/07/2025

Descripción

Existe una vulnerabilidad de desbordamiento de búfer en Heroes of Might and Magic III Complete 4.0.0.0, HD Mod 3.808 build 9 y Demo 1.0.0.0 mediante archivos de mapa .h3m maliciosos que explotan la lógica de análisis de nombres de sprites de objetos. La vulnerabilidad ocurre durante la carga de mapas dentro del juego cuando un nombre de objeto creado provoca un desbordamiento de búfer, lo que podría permitir la ejecución de código arbitrario. Para explotarla, la víctima debe abrir un archivo de mapa malicioso dentro del juego.

Impacto

Vector 4.0
CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.40 ALTA
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Activo
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0
8.40
Gravedad 4.0
ALTA

Referencias a soluciones, herramientas e información