CVE-2025-71293: Kernel NULL Pointer en Driver AMD GPU
Plataforma
linux
Componente
amdgpu
Corregido en
bd68a1404b6fa2e7e9957b38ba22616faba43e75
La vulnerabilidad CVE-2025-71293 afecta al driver AMD GPU para Linux, específicamente en el subsistema drm/amdgpu/ras. Esta falla resulta en una posible dereferencia de puntero nulo, lo que puede llevar a una denegación de servicio. La vulnerabilidad afecta a versiones del driver anteriores o iguales a bd68a1404b6fa2e7e9957b38ba22616faba43e75. Se ha publicado una corrección en la versión bd68a1404b6fa2e7e9957b38ba22616faba43e75.
Impacto y Escenarios de Ataque
La explotación de esta vulnerabilidad podría permitir a un atacante causar una denegación de servicio (DoS) en el sistema afectado. El error de puntero nulo ocurre cuando el driver intenta acceder a una dirección de memoria inválida debido a una configuración incorrecta de la EEPROM. En escenarios donde la EEPROM contiene solo entradas de dirección inválidas, la asignación de memoria se omite, lo que desencadena la dereferencia del puntero nulo. Esto puede resultar en el bloqueo del kernel y la pérdida de datos, afectando la disponibilidad del sistema. Aunque no se ha reportado explotación activa, la naturaleza crítica del kernel la convierte en un objetivo potencial.
Contexto de Explotación
La vulnerabilidad CVE-2025-71293 fue publicada el 6 de mayo de 2026. La severidad de la vulnerabilidad está pendiente de evaluación. No se han identificado campañas de explotación activas conocidas en este momento. La descripción de la vulnerabilidad sugiere un escenario de explotación poco probable, pero la posibilidad de un ataque dirigido no puede descartarse. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.02% (6% percentil)
Software Afectado
Cronología
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para CVE-2025-71293 es actualizar el driver AMD GPU a la versión corregida bd68a1404b6fa2e7e9957b38ba22616faba43e75 o posterior. Si la actualización del driver causa problemas de compatibilidad, se recomienda consultar la documentación de AMD para posibles soluciones alternativas o versiones anteriores estables. En algunos casos, puede ser necesario realizar una reversión a una versión anterior del kernel o del firmware de la GPU. Después de la actualización, es crucial verificar que el driver se haya cargado correctamente y que no haya errores en los registros del sistema.
Cómo corregirlotraduciendo…
Actualizar el kernel de Linux a la versión 6.8.1 o superior para mitigar el problema. La vulnerabilidad se produce debido a una condición de carrera en la asignación de datos RAS, que puede provocar una desreferenciación de puntero nulo. La actualización corrige este problema moviendo la asignación de datos antes de la verificación de páginas defectuosas.
Preguntas frecuentes
What is CVE-2025-71293 — Kernel NULL Pointer en Driver AMD GPU?
CVE-2025-71293 es una vulnerabilidad que causa una dereferencia de puntero nulo en el driver AMD GPU para Linux, lo que puede llevar a una denegación de servicio. Afecta a versiones anteriores o iguales a bd68a1404b6fa2e7e9957b38ba22616faba43e75.
Am I affected by CVE-2025-71293 en Driver AMD GPU?
Si está utilizando un sistema Linux con el driver AMD GPU en una versión anterior o igual a bd68a1404b6fa2e7e9957b38ba22616faba43e75, es posible que esté afectado.
How do I fix CVE-2025-71293 en Driver AMD GPU?
La solución es actualizar el driver AMD GPU a la versión corregida bd68a1404b6fa2e7e9957b38ba22616faba43e75 o posterior. Consulte la documentación de AMD para obtener instrucciones.
Is CVE-2025-71293 being actively exploited?
En este momento, no se han identificado campañas de explotación activas conocidas para CVE-2025-71293, pero se recomienda monitorear las fuentes de inteligencia de amenazas.
Where can I find the official AMD advisory for CVE-2025-71293?
Consulte el sitio web de AMD o la base de datos de vulnerabilidades NVD para obtener la información oficial sobre CVE-2025-71293.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...