CVE-2025-26326

Nome do Software Vulnerável e Versões Afetadas Versões do NVDA 2024.4.1 até 2024.4.2

Descrição Uma vulnerabilidade nos complementos de conexão remota do NVDA permite que um atacante obtenha controle total do sistema remoto ao adivinhar uma senha fraca. O problema ocorre porque os complementos aceitam qualquer senha digitada pelo usuário e não possuem um mecanismo adicional de autenticação ou verificação por parte do computador que será acessado. Testes indicam que mais de 1.000 sistemas usam senhas fáceis de adivinhar, muitas com menos de 4 a 6 caracteres, incluindo sequências comuns. Isso possibilita ataques de força bruta ou de tentativa e erro por parte de invasores maliciosos. A vulnerabilidade pode ser explorada por um atacante remoto que conhece ou consegue adivinhar a senha usada na conexão, resultando em acesso completo ao sistema afetado, permitindo ao atacante executar comandos, modificar arquivos e comprometer a segurança do usuário.

Recomendações Para as versões do NVDA 2024.4.1 e 2024.4.2, considere implementar mecanismos de autenticação adicionais para prevenir ataques de força bruta. Como solução temporária, restrinja o acesso a conexões remotas até que uma correção esteja disponível. Evite usar senhas fracas, especialmente aquelas com menos de 4 a 6 caracteres ou sequências comuns, para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.