Katalog CVE

CVE-2025-3495

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Delta Electronics COMMGR w wersjach 1 i 2 wykorzystuje niewystarczająco losowe wartości do generowania identyfikatorów sesji. Atakujący może łatwo przeprowadzić atak brute force na identyfikator sesji i załadować oraz wykonać dowolny kod.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości przejęcia sesji przez atakującego, co może prowadzić do wykonania złośliwego kodu w systemie.

Rekomendacja

Zaleca się wprowadzenie silniejszego mechanizmu losowania identyfikatorów sesji oraz monitorowanie i ograniczanie prób ataków brute force.

Oryginalny opis (angielski, źródło NVD)

Delta Electronics COMMGR v1 and v2 uses insufficiently randomized values to generate session IDs (CWE-338). An attacker could easily brute force a session ID and load and execute arbitrary code.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS