Vulnerabilidad en kernel de Linux (CVE-2023-53049)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-476
Desreferencia a puntero nulo (NULL)
Fecha de publicación:
02/05/2025
Última modificación:
12/11/2025
Descripción
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: ucsi: Se corrige la desreferencia del puntero nulo en ucsi_connector_change(). Cuando ucsi_init() falla, ucsi->connector es nulo; sin embargo, en el caso de ucsi_acpi, aún pueden aparecer eventos que provocan que el código ucs_acpi llame a ucsi_connector_change(), que a su vez desreferencia el puntero nulo ucsi->connector. Para solucionar esto, no configure ucsi->ntfy dentro de ucsi_init() hasta que ucsi_init() se haya ejecutado correctamente, de modo que ucsi_connector_change() ignore los eventos, ya que UCSI_ENABLE_NTFY_CONNECTOR_CHANGE no está configurado en la máscara ntfy.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 5.5 (incluyendo) | 5.10.177 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 5.11 (incluyendo) | 5.15.105 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 5.16 (incluyendo) | 6.1.22 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.2 (incluyendo) | 6.2.9 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:6.3:rc1:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:6.3:rc2:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:6.3:rc3:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://git.kernel.org/stable/c/1c5abcb13491da8c049f20462189c12c753ba978
- https://git.kernel.org/stable/c/7dd27aed9c456670b3882877ef17a48195f21693
- https://git.kernel.org/stable/c/7ef0423e43f877a328454059d46763043ce3da44
- https://git.kernel.org/stable/c/a6adfe9bbd6ac11e398b54ccd99a0f8eea09f3c0
- https://git.kernel.org/stable/c/f87fb985452ab2083967103ac00bfd68fb182764