Vulnerabilidad en kernel de Linux (CVE-2025-38536)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-416
Utilización después de liberación
Fecha de publicación:
16/08/2025
Última modificación:
18/11/2025
Descripción
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: airoha: se corrige un posible error de use after free en airoha_npu_get(). np->name se usaba después de llamar a of_node_put(np), lo que libera el nodo y puede provocar un error de use after free. Anteriormente, se llamaba a of_node_put(np) incondicionalmente después de of_find_device_by_node(np), lo que podía provocar un error de use after free si pdev era NULL. Este parche traslada of_node_put(np) después de la comprobación de errores para garantizar que el nodo solo se libere después de que tanto el error como los casos de éxito se hayan gestionado correctamente, lo que evita posibles problemas de recursos.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.15 (incluyendo) | 6.15.8 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:6.16:rc1:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:6.16:rc2:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:6.16:rc3:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:6.16:rc4:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:6.16:rc5:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:6.16:rc6:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página