Vulnerabilidad en Microsoft Exchange (CVE-2025-58107)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-319 Transmisión de información sensible en texto claro

Fecha de publicación:

02/03/2026

Última modificación:

02/03/2026

Descripción

En Microsoft Exchange hasta 2019, las configuraciones de Exchange ActiveSync (EAS) en servidores locales pueden transmitir datos sensibles de dispositivos móviles Samsung en texto claro, incluyendo el nombre de usuario, la dirección de correo electrónico, el ID del dispositivo, el token de portador y la contraseña codificada en base64.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://geochen.medium.com/microsoft-activesync-legacy-protocol-plaintext-credential-and-token-exposure-vulnerability-b0fad89014fa