Se han descubierto múltilples vulnerabilidades de severidad alta en chipsets Qualcomm Snapdragon. Un actor malicioso podría explotarlas para producir corrupción de memoria, ejecución remota de código, escalamiento de privilegios locales, o divulgación de información sensible en los sistemas objetivo.
Productos afectados
- Qualcomm Snapdragon: múltiples familias incluyendo Snapdragon 8 Gen 1/2/3, 870, 888, 8+ Gen 1, 480, 695, 780G, 782G, y plataformas automotrices
- Qualcomm Snapdragon Auto: series QAM y SA
- Qualcomm Snapdragon Industrial IoT: series QCA, SRV y QCS
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-27074: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de corrupción de memoria mientras se procesa una respuesta de comando GP (Guest Protocol) en el componente SCE-Mink del Qualcomm Secure Compute Engine. Un actor malicioso podría ejecutar código arbitrario en el sistema objetivo.
CVE-2025-47357: con una puntuación de 8.0 en CVSS v3.1. Existe una vulnerabilidad de divulgación de información por autenticación faltante cuando un controlador de nivel de usuario realiza operaciones de lectura o escritura en QFPROM en regiones de fusibles sin verificación de autenticación. Un actor malicioso podría leer información sensible en los sistemas afectados.
CVE-2025-27070: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de corrupción de memoria mientras se realizan comandos de cifrado y descifrado en el subsistema criptográfico de Qualcomm. Un actor malicioso podría corromper la memoria y potencialmente ejecutar código arbitrario.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-27074
- https://www.cve.org/CVERecord?id=CVE-2025-47357
- https://www.cve.org/CVERecord?id=CVE-2025-27070
- https://docs.qualcomm.com/product/publicresources/securitybulletin/november-2025-bulletin.html