Vulnerabilidad en Calero VeraSMART (CVE-2026-26334)

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-798 Credenciales embebidas en el software

Fecha de publicación:

13/02/2026

Última modificación:

26/02/2026

Descripción

Las versiones de Calero VeraSMART anteriores a 2026 R1 contienen claves de cifrado AES estáticas codificadas de forma rígida dentro de Veramark.Framework.dll (clase Veramark.Core.Config). Estas claves se utilizan para cifrar la contraseña de la cuenta de servicio almacenada en C:\\VeraSMART Data\\app.settings. Un atacante con acceso local al sistema puede extraer las claves codificadas de forma rígida del módulo Veramark.Framework.dll y descifrar las credenciales almacenadas. Las credenciales recuperadas pueden luego utilizarse para autenticarse en el host de Windows, lo que podría resultar en una escalada de privilegios local dependiendo de los privilegios de la cuenta de servicio configurada.

Impacto

Vector 4.0

CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.50 ALTA
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

8.50

Gravedad 4.0

ALTA

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.80 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto