Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Uso de un generador de números pseudoaleatorios criptográficamente débil en COMMGR de Delta Electronics

Fecha de publicación 16/04/2025
Identificador
INCIBE-2025-0191
Importancia
5 - Crítica
Recursos Afectados
  • COMMGR (Version 1): todas las versiones;
  • COMMGR (Version 2): todas las versiones.
Descripción

Trend Micro's Zero Day Initiative ha reportado una vulnerabilidad de severidad crítica que podría permitir a un atacante ejecutar código arbitrario remotamente.

Solución

La versión 1 del software COMMGR ha llegado al final de su vida útil (EOL). Delta Electronics publicará una corrección para la versión 2 del software COMMGR.

Detalle

El software utiliza valores insuficientemente aleatorios para generar identificadores de sesión. Un atacante podría forzar fácilmente un ID de sesión y cargar y ejecutar código arbitrario.

Se ha asignado el identificador CVE-2025-3495 para esta vulnerabilidad.