Vulnerabilidad en OpenRazer (CVE-2022-23467)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-125
Lectura fuera de límites
Fecha de publicación:
05/12/2022
Última modificación:
03/11/2025
Descripción
OpenRazer es un controlador de código abierto y un demonio de espacio de usuario para controlar la iluminación del dispositivo Razer y otras funciones en GNU/Linux. Al utilizar un dispositivo USB modificado, un atacante puede filtrar las direcciones de pila de `razer_attr_read_dpi_stages`, evitando potencialmente KASLR. Para explotar esta vulnerabilidad, un atacante necesitaría acceder al teclado o al mouse de un usuario o necesitaría convencer a un usuario para que use un dispositivo modificado. El problema se solucionó en la versión 3.5.1. Se recomienda a los usuarios que actualicen y se les debe recordar que no conecten dispositivos USB desconocidos.
Impacto
Puntuación base 3.x
4.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openrazer_project:openrazer:*:*:*:*:*:linux:*:* | 3.5.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/openrazer/openrazer/commit/33aa7f07d54ae066f201c6d298cb4a2181cb90e6
- https://github.com/openrazer/openrazer/security/advisories/GHSA-39hg-jvc9-fg7h
- https://github.com/openrazer/openrazer/commit/33aa7f07d54ae066f201c6d298cb4a2181cb90e6
- https://github.com/openrazer/openrazer/security/advisories/GHSA-39hg-jvc9-fg7h
- https://lists.debian.org/debian-lts-announce/2025/04/msg00032.html