Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de Mediatek

Fecha de publicación 07/04/2025
Identificador
INCIBE-2025-0172
Importancia
5 - Crítica
Recursos Afectados

La vulnerabilidad de severidad crítica afecta a los siguientes chipsets y versiones:

  • SDK versión 7.4.0.1 y anteriores (para MT7622 y MT7915);
  • SDK versión 7.6.7.0 y anteriores (para MT7916, MT7981 y MT7986);
  • OpenWrt 19.07, 21.02 (para MT6890).
Descripción

MediaTek ha publicado en su boletín mensual de seguridad 11 vulnerabilidades: una de severidad crítica, 4 de severidad alta y 6 de severidad media. Las cuales, de ser explotadas, podrían provocar una ejecución remota de código, divulgación de información, escalada de privilegios o denegación de servicio.

Solución

Los fabricantes de equipos originales (OEM) de los dispositivos fueron notificados de todos los problemas y sus correspondientes parches de seguridad al menos dos meses antes de su publicación.

Detalle

La vulnerabilidad de severidad crítica se localiza en el servicio WLAN. Existe una posible escritura fuera de límites debido a una comprobación incorrecta. Esto podría provocar la ejecución remota de código sin necesidad de privilegios de ejecución adicionales. No se requiere la interacción del usuario para su explotación. Se ha asignado el identificador CVE-2025-20654 para esta vulnerabilidad.

Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2025-20655, CVE-2025-20656, CVE-2025-20657 y CVE-2025-20658.

Listado de referencias