Vulnerabilidad en Arctera InfoScale (CVE-2025-27816)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-502 Deserialización de datos no confiables

Fecha de publicación:

07/03/2025

Última modificación:

07/03/2025

Descripción

Se descubrió una vulnerabilidad en Arctera InfoScale 7.0 a 8.0.2, en la que se puede explotar un endpoint remoto .NET debido a la deserialización insegura de mensajes potencialmente no confiables. La vulnerabilidad está presente en el servicio Plugin_Host de Windows, que se ejecuta en todos los servidores donde está instalado InfoScale. El servicio se utiliza solo cuando las aplicaciones están configuradas para recuperación ante desastres (DR) mediante el asistente de recuperación ante desastres. Deshabilitar el servicio Plugin_Host manualmente eliminará la vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Referencias a soluciones, herramientas e información

https://www.veritas.com/content/support/en_US/security/ARC25-002