Se han descubierto vulnerabilidades de severidad alta en el firmware UEFI de placas base de múltiples fabricantes. Un actor malicioso con acceso físico podría realizar ataques de acceso directo a memoria (DMA) durante la fase temprana de arranque (early boot), eludiendo las protecciones del sistema operativo.
Productos afectados
- GIGABYTE: placas base con chipsets Intel Z890, W880, Q870, B860, H810, Z790, B760, Z690, Q670, B660, H610, W790 y chipsets AMD X870E, X870, B850, B840, X670, B650, A620, A620A, TRX50.
- MSI: placas base con chipsets Intel series 600 y 700.
- ASRock: placas base con chipsets Intel series 500, 600, 700 y 800.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-14302: con una puntuación de 7.0 en CVSS v4.0. Existe una vulnerabilidad de fallo en el mecanismo de protección en placas base GIGABYTE. La falta de inicialización correcta de la IOMMU expone el sistema a ataques de inyección de código pre-arranque mediante DMA.
CVE-2025-14303: con una puntuación de 7.0 en CVSS v4.0. Existe una vulnerabilidad de fallo en el mecanismo de protección en placas base MSI. La falta de inicialización correcta de la IOMMU expone el sistema a ataques de inyección de código pre-arranque mediante DMA.
CVE-2025-14304: con una puntuación de 7.0 en CVSS v4.0. Existe una vulnerabilidad de fallo en el mecanismo de protección en placas base ASRock. La falta de inicialización correcta de la IOMMU expone el sistema a ataques de inyección de código pre-arranque mediante DMA.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-14302
- https://nvd.nist.gov/vuln/detail/CVE-2025-14303
- https://nvd.nist.gov/vuln/detail/CVE-2025-14304
- https://www.gigabyte.com/Support/Security/2338
- https://csr.msi.com/global/product-security-advisories
- https://www.asrock.com/support/Security.asp?iD=1