Vulnerabilidad en NVDA (CVE-2025-26326)

Se ha identificado una vulnerabilidad en los complementos de conexión remota de NVDA (Nonvisual Desktop Access) 2024.4.1 y 2024.4.2, que permite a un atacante obtener el control total del sistema remoto al adivinar una contraseña débil. El problema se produce porque los complementos aceptan cualquier contraseña tecleada por el usuario y no cuentan con un mecanismo adicional de autenticación o comprobación por parte del equipo al que se va a acceder. Las pruebas indican que más de 1.000 sistemas utilizan contraseñas fáciles de adivinar, muchas de ellas con menos de 4 a 6 caracteres, incluidas secuencias comunes. Esto permite ataques de fuerza bruta o de intento y error por parte de invasores maliciosos. La vulnerabilidad puede ser explorada por un atacante remoto que conozca o pueda adivinar la contraseña utilizada en la conexión. Como resultado, el invasor obtiene acceso completo al sistema afectado y puede ejecutar comandos, modificar archivos y comprometer la seguridad del usuario.