Se han descubierto vulnerabilidades de severidad alta en computadoras Todo-en-Uno que utilizan firmware Insyde UEFI personalizado. Un actor malicioso podría aprovechar estas vulnerabilidades para lograr la elevación de privilegios, corrupción de memoria o ejecución de código arbitrario, desde el modo de administración del sistema.
Productos afectados
- IdeaCentre AIO 3: modelos 24-ARR9 y 27-ARR9
- Yoga AIO: modelos 27IAH10, 32ILL10 y 32IRH8
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-4421: con una puntuación de 8.2 en CVSS v3.1. Un error en el manejador SMI (Callback7 a través de EfiSmiServices) podría permitir a un actor malicioso escribir a una dirección SMRAM controlada por el actor malicioso usando un registro RSI no validado, logrando la elevación de privilegios y una vulneración persistente del firmware en SMM.
CVE-2025-4422: con una puntuación de 8.2 en CVSS v3.1. Un error en el manejador SMI (EfiSmiServices, a través de gEfiSmmCpuProtocol y EfiPcdProtocol) podría permitir a un actor malicioso lograr la corrupción de la memoria y elevación de privilegios en SMM.
CVE-2025-4423: con una puntuación de 8.2 en CVSS v3.1. Un error en el manejador SMI (SetupAutomationSmm) podría permitir a un actor malicioso las escrituras arbitrarias en memoria, llevando a elevación de privilegios y ejecución de código en SMM.
CVE-2025-4425: con una puntuación de 8.2 en CVSS v3.1. Un desbordamiento de búfer de pila en el manejador SMI (SetupAutomationSmm) podría permitir a un actor malicioso las escrituras arbitrarias en memoria, llevando a elevación de privilegios y ejecución de código en SMM.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-4421
- https://nvd.nist.gov/vuln/detail/CVE-2025-4422
- https://nvd.nist.gov/vuln/detail/CVE-2025-4423
- https://nvd.nist.gov/vuln/detail/CVE-2025-4425
- https://support.lenovo.com/us/en/product_security/LEN-201013