Vulnerabilidad en Instant Financial Issuance (IF) (CVE-2026-23746)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

CWE-306 Ausencia de autenticación para una función crítica

Fecha de publicación:

15/01/2026

Última modificación:

15/04/2026

Descripción

El software Entrust Instant Financial Issuance (IFI) On Premise (anteriormente conocido como CardWizard) versiones 5.x, anteriores a la 6.10.5, y anteriores a la 6.11.1 contienen una exposición insegura de .NET Remoting en el servicio SmartCardController (DCG.SmartCardControllerService.exe). El servicio registra un canal de remoting TCP con un formateador/configuración inseguros que permiten la invocación de objetos de remoting no confiables. Un atacante remoto no autenticado que pueda alcanzar el puerto de remoting puede invocar objetos de remoting expuestos para leer archivos arbitrarios del servidor y forzar la autenticación saliente, y puede lograr la escritura arbitraria de archivos y la ejecución remota de código a través de técnicas conocidas de explotación de .NET Remoting. Esto puede llevar a la divulgación de datos sensibles de instalación y de cuentas de servicio y al compromiso del host afectado.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.30 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

9.30

Gravedad 4.0

CRÍTICA

Vulnerabilidad en Instant Financial Issuance (IF) (CVE-2026-23746)

Descripción

Impacto

Referencias a soluciones, herramientas e información