Vulnerabilidad en kernel de Linux (CVE-2025-38122)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-476
Desreferencia a puntero nulo (NULL)
Fecha de publicación:
03/07/2025
Última modificación:
17/12/2025
Descripción
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: gve: se ha añadido la comprobación de valores nulos (NULL) faltante para gve_alloc_pending_packet() en TX DQO. gve_alloc_pending_packet() puede devolver valores nulos (NULL), pero gve_tx_add_skb_dqo() no los comprobaba antes de desreferenciar el puntero devuelto. Se ha añadido una comprobación de valores nulos (NULL) faltante para evitar una posible desreferencia de punteros nulos cuando falla la asignación. Esto mejora la robustez en escenarios con poca memoria.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 5.14 (incluyendo) | 5.15.186 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 5.16 (incluyendo) | 6.1.142 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.2 (incluyendo) | 6.6.94 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.7 (incluyendo) | 6.12.34 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.13 (incluyendo) | 6.15.3 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://git.kernel.org/stable/c/12c331b29c7397ac3b03584e12902990693bc248
- https://git.kernel.org/stable/c/2e5ead9e4e91fbe7799bd38afd8904543be1cb51
- https://git.kernel.org/stable/c/7f6265fce3bd424ded666481b37f106d7915fb6b
- https://git.kernel.org/stable/c/a0319c9b1648a67511e947a596ca86888451c0a7
- https://git.kernel.org/stable/c/ae98a1787fdcb0096d122bc80d93c3c7d812c04b
- https://git.kernel.org/stable/c/c741a7ef68023ac800054e2131c3e22e647fd7e3
- https://lists.debian.org/debian-lts-announce/2025/10/msg00008.html