CVE-2025-71294: Null Pointer Dereference en Driver de GPU AMD
Plataforma
linux
Componente
amdgpu
Corregido en
276028fd9b60bbcc68796d1124b6b58298f4ca8a
La vulnerabilidad CVE-2025-71294 representa una desreferenciación de puntero nulo detectada en el driver de GPU AMD para Linux. Esta condición ocurre cuando el bloque SDMA no está habilitado, impidiendo la inicialización de buffer_funcs, lo que puede llevar a un fallo del sistema. Afecta a versiones del driver anteriores o iguales a 276028fd9b60bbcc68796d1124b6b58298f4ca8a, y ha sido resuelta en la versión especificada.
Impacto y Escenarios de Ataque
La explotación exitosa de esta vulnerabilidad podría resultar en una denegación de servicio (DoS). Un atacante podría provocar un fallo en el driver de la GPU, lo que interrumpiría el funcionamiento del sistema gráfico y potencialmente todo el sistema operativo. Aunque la descripción no detalla un acceso no autorizado, la inestabilidad causada por la desreferenciación de puntero nulo podría ser aprovechada para realizar ataques de denegación de servicio dirigidos. La falta de inicialización de buffer_funcs sugiere una falla en la gestión de memoria, lo que podría ser explotado para causar un comportamiento impredecible del sistema.
Contexto de Explotación
La vulnerabilidad CVE-2025-71294 fue publicada el 6 de mayo de 2026. La probabilidad de explotación activa es actualmente desconocida, pero la naturaleza de la desreferenciación de puntero nulo la convierte en un objetivo potencial para atacantes. No se han reportado campañas activas conocidas que exploten esta vulnerabilidad. Se recomienda monitorear las fuentes de inteligencia de amenazas para obtener actualizaciones sobre su estado de explotación.
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.02% (7% percentil)
Software Afectado
Cronología
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para CVE-2025-71294 es actualizar el driver de GPU AMD a la versión corregida: 276028fd9b60bbcc68796d1124b6b58298f4ca8a. Si la actualización causa problemas de compatibilidad, considere un rollback a una versión anterior estable, aunque esto no elimina la vulnerabilidad. En entornos donde la actualización inmediata no es posible, monitorear los registros del sistema en busca de errores relacionados con el driver de GPU AMD puede ayudar a detectar posibles intentos de explotación. No existen configuraciones específicas o reglas de WAF que puedan mitigar directamente esta vulnerabilidad, ya que se trata de un fallo en el código del driver.
Cómo corregirlotraduciendo…
Actualizar el kernel de Linux a la versión 6.7 o superior, o a una versión posterior dentro de las ramas 6.12, 6.18 o 6.19 que contengan la corrección. Esta actualización soluciona un problema de puntero nulo en las funciones de manejo de búferes cuando el bloque SDMA no está habilitado, previniendo posibles fallos del sistema.
Preguntas frecuentes
What is CVE-2025-71294 — Null Pointer Dereference en Driver de GPU AMD?
CVE-2025-71294 es una vulnerabilidad de desreferenciación de puntero nulo en el driver de GPU AMD para Linux, que puede llevar a una denegación de servicio si el bloque SDMA no está habilitado.
Am I affected by CVE-2025-71294 en Driver de GPU AMD?
Si está utilizando una versión del driver de GPU AMD anterior o igual a 276028fd9b60bbcc68796d1124b6b58298f4ca8a, es posible que esté afectado.
How do I fix CVE-2025-71294 en Driver de GPU AMD?
Actualice el driver de GPU AMD a la versión corregida: 276028fd9b60bbcc68796d1124b6b58298f4ca8a.
Is CVE-2025-71294 being actively exploited?
Actualmente no se han reportado campañas activas conocidas que exploten esta vulnerabilidad, pero se recomienda monitorear las fuentes de inteligencia de amenazas.
Where can I find the official AMD advisory for CVE-2025-71294?
Consulte el sitio web de AMD para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones de seguridad.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...