Vulnerabilidad en componente Print Service de Fiserv Originate Loans Peripherals (CVE-2026-21665)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
23/02/2026
Última modificación:
25/02/2026
Descripción
El componente Print Service de Fiserv Originate Loans Peripherals (anteriormente Velocity Services) en la versión no compatible 2021.2.4 (compilación 4.7.3155.0011) utiliza canales TCP de .NET Remoting obsoletos que permiten la deserialización insegura de datos no confiables. Cuando estos servicios están expuestos a una red no confiable en una implementación gestionada por el cliente, un atacante no autenticado puede lograr la ejecución remota de código. La versión 2021.2.4 ya no es compatible con Fiserv. Los clientes deben actualizarse a una versión actualmente compatible (2025.1 o posterior) y asegurarse de que los puertos del servicio .NET Remoting no estén expuestos más allá de los límites de la red confiable.<br />
<br />
Este CVE documenta el comportamiento observado en una implementación alojada por el cliente que ejecuta una versión heredada no compatible de Originate Loans Peripherals con puertos de .NET Remoting expuestos a una red no confiable. Esta no es una configuración predeterminada o compatible. Los clientes que ejecutan versiones heredadas deben actualizarse a una versión actualmente compatible y asegurarse de que los puertos de .NET Remoting estén restringidos a segmentos de red confiables. El hallazgo no se aplica a entornos alojados por Fiserv.
Impacto
Puntuación base 4.0
7.70
Gravedad 4.0
ALTA