Se han descubierto vulnerabilidades de severidad alta en múltiples chipsets y componentes de software de Qualcomm. Un actor malicioso local podría explotar estos fallos para corromper la memoria, ejecutar código arbitrario o escalar privilegios en el sistema afectado.
Productos afectados
- AR8035, AR9380, CSR8811, FastConnect 6200, FastConnect 6700, FastConnect 6900, FastConnect 7800, Immersive Home 214 Platform, Immersive Home 216 Platform, Immersive Home 316 Platform, Immersive Home 318 Platform, IPQ4018, IPQ4019, IPQ4028, IPQ4029, IPQ5010, IPQ5028, IPQ6000, IPQ6010, IPQ6018, IPQ6028, IPQ8064, IPQ8065, IPQ8068, IPQ8070, IPQ8070A, IPQ8071, IPQ8071A, IPQ8072, IPQ8072A, IPQ8074, IPQ8074A, IPQ8076, IPQ8076A, IPQ8078, IPQ8078A, IPQ8173, IPQ8174, QAM8255P, QAM8295P, QAM8620P, QAM8650P, QAM8775P, QAMSRV1H, QAMSRV1M, QCA4024, QCA6174A, QCA6428, QCA6438, QCA6574, QCA6574A, QCA6574AU, QCA6584AU, QCA6595, QCA6595AU, QCA6678AQ, QCA6688AQ, QCA6696, QCA6698AQ, QCA6797AQ, QCA7500, QCA8075, QCA8081, QCA8337, QCA9880, QCA9886, QCA9888, QCA9889, QCA9898, QCA9980, QCA9984, QCA9985, QCA9986, QCA9990, QCA9992, QCA9994, QCC710, QCM5430, QCM6490, QCN5022, QCN5024, QCN5052, QCN5122, QCN5124, QCN5152, QCN5154, QCN5164, QCN6023, QCN6024, QCN6112, QCN6122, QCN6132, QCN6224, QCN6274, QCN9000, QCN9022, QCN9024, QCN9070, QCN9072, QCN9074, QCN9100, QCN9274, QCS5430, QCS615, QCS6490, QCS9100, QEP8111, QFW7114, QFW7124, QMP1000.
- Entre otros.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-47356: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de liberación doble en el componente de Video. Un actor malicioso podría corromper la memoria cuando varios subprocesos acceden y modifican simultáneamente recursos compartidos.
CVE-2025-47346: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de escritura fuera de los límites en el sistema operativo anfitrión. Un actor malicioso podría corromper la memoria al procesar un comando de registro seguro en la aplicación de confianza.
CVE-2025-47339: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de uso de memoria después de liberarla en el sistema operativo anfitrión. Un actor malicioso podría aprovechar esta vulnerabilidad durante la desinicialización de una sesión HDCP para corromper la memoria.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-47356
- https://www.cve.org/CVERecord?id=CVE-2025-47346
- https://www.cve.org/CVERecord?id=CVE-2025-47339
- https://docs.qualcomm.com/securitybulletin/january-2026-bulletin.html