← volver
CVE-2026-3502

TrueConf Client Update Integrity Verification Bypass

CVSS 7.8 HIGHEPSS 5.8%● KEVCWE-494
En resumen

TrueConf Client descarga actualizaciones sin verificar si son auténticas, permitiendo que los atacantes inyecten código malicioso si pueden interceptar la descarga. Esto puede comprometer completamente el sistema del usuario.

Detalle técnico

La aplicación no valida criptográficamente la integridad de las actualizaciones antes de ejecutarlas, creando una vulnerabilidad de ejecución arbitraria de código. Un atacante con acceso en la capa de red (por ejemplo, ataque MITM) puede reemplazar actualizaciones legítimas con cargas maliciosas, ejecutando código con los privilegios del proceso de actualización o del usuario.

Resumen generado y traducido por IA a partir de la descripción oficial.
TrueConf Client downloads application update code and applies it without performing verification. An attacker who is able to influence the update delivery path can substitute a tampered update payload. If the payload is executed or installed by the updater, this may result in arbitrary code execution in the context of the updating process or user.
CVSS:3.1/AV:A/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:L
Productos afectados
TrueConf · TrueConf Client

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://research.checkpoint.com/2026/operation-truechaos-0-day-exploitation-against-southeast-asian-government-targets/https://trueconf.com/blog/update/trueconf-8-5https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-3502