Uso de un generador de números pseudoaleatorios criptográficamente débil en COMMGR de Delta Electronics
Fecha de publicación 16/04/2025
Identificador
INCIBE-2025-0191
Importancia
5 - Crítica
Recursos Afectados
- COMMGR (Version 1): todas las versiones;
- COMMGR (Version 2): todas las versiones.
Descripción
Trend Micro's Zero Day Initiative ha reportado una vulnerabilidad de severidad crítica que podría permitir a un atacante ejecutar código arbitrario remotamente.
Solución
La versión 1 del software COMMGR ha llegado al final de su vida útil (EOL). Delta Electronics publicará una corrección para la versión 2 del software COMMGR.
Detalle
El software utiliza valores insuficientemente aleatorios para generar identificadores de sesión. Un atacante podría forzar fácilmente un ID de sesión y cargar y ejecutar código arbitrario.
Se ha asignado el identificador CVE-2025-3495 para esta vulnerabilidad.
Listado de referencias