Se han detectado vulnerabilidades de severidad crítica y alta en múltiples chips y plataformas de Qualcomm, que podrían permitir a un actor malicioso ejecutar código arbitrario, acceder a información confidencial, comprometer la disponibilidad del servicio, escalar privilegios o eludir los mecanismos de seguridad de los sistemas afectados.
Productos afectados
Quedan afectados diversos conjuntos de chips y plataformas Qualcomm, incluyendo:
- Snapdragon 8 Gen 3 / 8 Gen 1 / 8+ / 7 / 6 / 4 series
- Módem-RF y módulos de conectividad como FastConnect 6200, 6700, 6900, 7800
- Plataformas de cómputo, IoT, automotrices y embebidas basadas en los chips listados en el boletín oficial de diciembre 2025.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025–47372: con una puntuación de 9.0 en CVSS v3.1. Existe una vulnerabilidad de desbordamiento de buffer en el proceso de arranque. Un actor malicioso podría comprometer el secure boot, provocar corrupción de memoria o ejecutar código arbitrario antes de iniciar el sistema operativo.
CVE-2025–47350: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de use-after-free en el servicio DSP. Un actor malicioso podría provocar corrupción de memoria o denegación de servicio, con posibilidad de ejecución no autorizada de código en contextos específicos.
CVE-2025-47323: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de integer overflow en el subsistema de audio. Un actor malicioso podría generar corrupción de memoria, afectando la estabilidad del sistema y posibilitando condiciones de denegación de servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://docs.qualcomm.com/product/publicresources/securitybulletin/december-2025-bulletin.html