Escanear gratis
Análisis pendienteCVE-2026-22166

CVE-2026-22166: Write UAF en GPU DDK 1.18.0–26.1 RTM

Plataforma

linux

Componente

gpu-ddk

Ver en NVD
Guardar

La vulnerabilidad CVE-2026-22166 es un fallo de escritura después de la liberación (Write UAF) descubierto en la GPU DDK. Este fallo se produce cuando se carga contenido WebGPU inusual en una página web dentro del proceso de renderizado de GLES de la GPU, lo que provoca un fallo en la biblioteca compartida del espacio de usuario de GLES de la GPU. La vulnerabilidad afecta a las versiones 1.18.0–26.1 RTM y, en sistemas con privilegios del sistema, podría permitir la ejecución de código arbitrario.

Impacto y Escenarios de Ataque

Un atacante podría explotar esta vulnerabilidad creando una página web maliciosa que contenga contenido WebGPU inusual. Al cargar esta página en un sistema vulnerable, el atacante podría desencadenar un fallo de escritura después de la liberación en la biblioteca compartida del espacio de usuario de GLES de la GPU. Si el proceso que ejecuta la carga de trabajo gráfica tiene privilegios del sistema, esto podría permitir al atacante obtener el control del sistema. La explotación exitosa podría resultar en la ejecución remota de código, el robo de datos confidenciales o la denegación de servicio. Aunque no se han reportado ataques públicos, la posibilidad de escalada de privilegios la convierte en una amenaza significativa.

Contexto de Explotación

La vulnerabilidad CVE-2026-22166 fue publicada el 1 de mayo de 2026. La probabilidad de explotación se considera baja a moderada, ya que requiere la creación de contenido WebGPU malicioso y la interacción del usuario con la página web. No se han identificado públicamente pruebas de concepto (PoC) disponibles, pero la naturaleza de la vulnerabilidad (Write UAF) sugiere que podría ser explotable. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO

EPSS

0.01% (3% percentil)

Software Afectado

Componentegpu-ddk
ProveedorImagination Technologies
Versión mínima1.18.0
Versión máxima26.1 RTM

Clasificación de Debilidad (CWE)

CWE-416

Cronología

  1. Publicada
  2. EPSS actualizado

Mitigación y Workarounds

La mitigación principal para CVE-2026-22166 es aplicar las actualizaciones de seguridad proporcionadas por Microsoft. Hasta que esté disponible una actualización, se recomienda restringir la carga de contenido WebGPU de fuentes no confiables. Implementar políticas de seguridad de contenido (CSP) para controlar los recursos que se pueden cargar en las páginas web puede ayudar a mitigar el riesgo. Monitorear los registros del sistema en busca de patrones inusuales relacionados con la GPU GLES puede ayudar a detectar posibles intentos de explotación. Se recomienda una revisión exhaustiva de la configuración de la GPU y las aplicaciones relacionadas.

Cómo corregirlotraduciendo…

Aplica las actualizaciones de seguridad proporcionadas por Imagination Technologies para la GPU DDK. Consulta el sitio web de Imagination Technologies para obtener más detalles y las versiones corregidas: https://www.imaginationtech.com/gpu-driver-vulnerabilities/

Preguntas frecuentes

What is CVE-2026-22166 — Write UAF en GPU DDK 1.18.0–26.1 RTM?

CVE-2026-22166 es una vulnerabilidad de Write UAF en la GPU DDK versión 1.18.0–26.1 RTM que permite un fallo de escritura después de la liberación al cargar contenido WebGPU inusual, pudiendo permitir la explotación del sistema.

Am I affected by CVE-2026-22166 in GPU DDK 1.18.0–26.1 RTM?

Si está utilizando GPU DDK versión 1.18.0–26.1 RTM y renderiza contenido WebGPU, es posible que esté afectado. Verifique su versión y aplique las actualizaciones de seguridad de Microsoft.

How do I fix CVE-2026-22166 in GPU DDK 1.18.0–26.1 RTM?

La solución es aplicar las actualizaciones de seguridad proporcionadas por Microsoft. Mientras tanto, restrinja la carga de contenido WebGPU de fuentes no confiables.

Is CVE-2026-22166 being actively exploited?

No se han reportado ataques públicos activos, pero la naturaleza de la vulnerabilidad sugiere que podría ser explotable. Monitoree las fuentes de inteligencia de amenazas.

Where can I find the official Microsoft advisory for CVE-2026-22166?

Consulte el sitio web de Microsoft Security Response Center (MSRC) para obtener la información oficial y las actualizaciones de seguridad relacionadas con CVE-2026-22166.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...