Se han descubierto vulnerabilidades de severidad crítica y alta en productos Qualcomm. Un actor malicioso podría realizar la ejecución remota de código o provocar un desbordamiento de búfer en los sistemas afectados.
Productos afectados
Software y chipsets Qualcomm:
- Qualcomm Software Center (QSC): versiones v1.17.1, v1.19.1 y v1.21.0.
- Qualcomm Package Manager (QPM): versiones v3.0.125.4, v3.0.126.7 y v3.0.127.2.
- Firmware de PLC: modelo QCA7005.
- Otros modelos especificados en el boletín de seguridad del fabricante de mayo de 2026.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-25254: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de autorización incorrecta en el Centro de software de Qualcomm. Un actor malicioso remoto podría realizar la ejecución remota de código a través de la interfaz SocketIO, comprometiendo la integridad y confidencialidad del sistema.
CVE-2026-25293: con una puntuación de 9.6 en CVSS v3.1. Existe una vulnerabilidad de autorización incorrecta en el firmware del PLC. Un actor malicioso adyacente podría explotar esta condición para provocar un desbordamiento de búfer, permitiendo la ejecución de acciones no autorizadas o la interrupción del servicio.
CVE-2026-25255: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de exposición de un método o función peligrosa en Qualcomm Package Manager y Qualcomm Software Center. Un actor malicioso local podría aprovechar esta exposición a través del servidor gRPC para lograr una escalada de privilegios en el sistema afectado.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias