CVE-2025-3495
CriticalSummary
Delta Electronics COMMGR w wersjach 1 i 2 wykorzystuje niewystarczająco losowe wartości do generowania identyfikatorów sesji. Atakujący może łatwo przeprowadzić atak brute force na identyfikator sesji i załadować oraz wykonać dowolny kod.
Risk Assessment
Ryzyko dla organizacji polega na możliwości przejęcia sesji przez atakującego, co może prowadzić do wykonania złośliwego kodu w systemie.
Recommendation
Zaleca się wprowadzenie silniejszego mechanizmu losowania identyfikatorów sesji oraz monitorowanie i ograniczanie prób ataków brute force.
Original NVD description (English source)
Delta Electronics COMMGR v1 and v2 uses insufficiently randomized values to generate session IDs (CWE-338). An attacker could easily brute force a session ID and load and execute arbitrary code.

