Vulnerabilidades en productos SUSE

01/12/2025 Noticias 0

Se han descubierto vulnerabilidades de severidad alta en el kernel de los productos SUSE Linux Enterprise y openSUSE. Un actor malicioso podría provocar ejecución de código, elevación de privilegios, denegación de servicio, divulgación de información sensible o manipulación de datos en los sistemas afectados.

Productos afectados

  • SUSE Linux Enterprise High Performance Computing 15 SP3
  • SUSE Linux Enterprise Live Patching 15-SP3
  • SUSE Linux Enterprise Live Patching 15-SP6
  • SUSE Linux Enterprise Live Patching 15-SP7
  • SUSE Linux Enterprise Micro 5.1
  • SUSE Linux Enterprise Micro 5.2
  • SUSE Linux Enterprise Real Time 15 SP6
  • SUSE Linux Enterprise Real Time 15 SP7
  • SUSE Linux Enterprise Server 15 SP3
  • SUSE Linux Enterprise Server 15 SP6
  • SUSE Linux Enterprise Server 15 SP7
  • SUSE Linux Enterprise Server for SAP Applications 15 SP3
  • SUSE Linux Enterprise Server for SAP Applications 15 SP6
  • SUSE Linux Enterprise Server for SAP Applications 15 SP7
  • SUSE Real Time Module 15-SP6
  • openSUSE Leap 15.3
  • openSUSE Leap 15.6

Impacto

Las vulnerabilidades de mayor severidad se han identificado como:

CVE-2025-23145: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de puntero NULL en la función can_accept_new_subflow del subsistema MPTCP del kernel de Linux. Un actor malicioso podría aprovechar esta vulnerabilidad para provocar una caída del sistema, resultando en una denegación de servicio.

CVE-2025-38616: con una puntuación de 7.4 en CVSS v3.1. Existe una vulnerabilidad en el manejo de conexiones TLS dentro del kernel. Un fallo en la gestión de datos podría permitir que los datos desaparezcan bajo ciertas condiciones, lo que un actor malicioso podría explotar para afectar la integridad de la comunicación.

CVE-2025-38500: con una puntuación de 7.0 en CVSS v3.1. Existe una vulnerabilidad de uso de memoria después de liberarla en la interfaz xfrm. Un actor malicioso local con privilegios bajos podría explotar esta vulnerabilidad para escalar privilegios o causar una denegación de servicio en el sistema.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

  • https://www.cve.org/CVERecord?id=CVE-2025-23145
  • https://www.cve.org/CVERecord?id=CVE-2025-38616
  • https://www.cve.org/CVERecord?id=CVE-2025-38500
  • https://www.suse.com/support/update/announcement/2025/suse-su-20254262-1
  • https://www.suse.com/support/update/announcement/2025/suse-su-20254261-1