Vulnerabilidad en TCG TPM2.0 (CVE-2025-2884)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-125
Lectura fuera de límites
Fecha de publicación:
10/06/2025
Última modificación:
15/04/2026
Descripción
La función auxiliar CryptHmacSign de la implementación de referencia TCG TPM2.0 es vulnerable a lecturas fuera de los límites debido a la falta de validación del esquema de firma con el algoritmo de la clave de firma. Consulte la errata 1.83 del estándar TCG TPM2.0.
Impacto
Puntuación base 3.x
6.60
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/stefanberger/libtpms/commit/04b2d8e9afc0a9b6bffe562a23e58c0de11532d1
- https://trustedcomputinggroup.org/about/security/
- https://trustedcomputinggroup.org/wp-content/uploads/TPM2.0-Library-Spec-v1.83-Errata_v1_pub.pdf
- https://trustedcomputinggroup.org/wp-content/uploads/VRT0009-Advisory-FINAL.pdf
- https://www.cve.org/CVERecord?id=CVE-2025-49133
- https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-01209.html
- https://www.kb.cert.org/vuls/id/282450
- https://cert-portal.siemens.com/productcert/html/ssa-628843.html