CVE-2024-45165

Versões do UCI IDOL 2 até a 2.12

Foi descoberta uma falha no mecanismo de criptografia utilizado pelo UCI IDOL 2. Os dados enviados entre o cliente e o servidor são criptografados, mas a chave é derivada de uma string estática “(c)2007 UCI Software GmbH B.Boll”. Essa chave é codificada de forma rígida, permitindo que um invasor com acesso às mensagens as descriptografe e criptografe, possibilitando assim ataques man-in-the-middle passivos e ativos.

Para as versões até a 2.12, considere desativar o mecanismo de criptografia que utiliza a chave estática até que um patch esteja disponível. Restrinja o acesso a dados confidenciais e minimize o risco de exploração implementando medidas de segurança adicionais, como o monitoramento do tráfego de rede em busca de atividades suspeitas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.