Vulnerabilidad en kernel de Linux (CVE-2025-38615)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/08/2025
Última modificación:
26/11/2025
Descripción
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: fs/ntfs3: falla la cancelación de un inodo erróneo tras eliminar el nombre. El reproductor usa un archivo "file0" en un sistema de archivos ntfs3 con un i_link dañado. Al renombrar, el inodo de archivo "file0" se marca como erróneo porque no se puede eliminar el nombre del archivo. El error subyacente radica en que se llama a make_bad_inode() en un inodo activo. En algunos casos, la búsqueda de icache encuentra un inodo normal, se llama a d_splice_alias() para asociarlo a dentry, mientras que otro hilo decide llamar a make_bad_inode() en él; eso lo expulsaría de icache, pero ya lo habíamos encontrado allí anteriormente. En otros casos, es simplemente: "Tenemos un inodo asociado a dentry; así es como lo obtuvimos; llamemos a make_bad_inode() en él, solo por diversión".
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 5.15 (incluyendo) | 6.6.102 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.7 (incluyendo) | 6.12.42 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.13 (incluyendo) | 6.15.10 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.16 (incluyendo) | 6.16.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://git.kernel.org/stable/c/358d4f821c03add421a4c49290538a705852ccf1
- https://git.kernel.org/stable/c/3ed2cc6a6e93fbeb8c0cafce1e7fb1f64a331dcc
- https://git.kernel.org/stable/c/a285395020780adac1ffbc844069c3d700bf007a
- https://git.kernel.org/stable/c/b35a50d639ca5259466ef5fea85529bb4fb17d5b
- https://git.kernel.org/stable/c/d99208b91933fd2a58ed9ed321af07dacd06ddc3