Escanear gratis
Análisis pendienteCVE-2026-22165

CVE-2026-22165: Write UAF en GPU DDK 1.18.0–26.1 RTM

Plataforma

linux

Componente

imagination-technologies-gpu-ddk

Corregido en

24.2.1

Ver en NVD
Guardar

La vulnerabilidad CVE-2026-22165 es una falla de Write Use-After-Free (UAF) detectada en la GPU DDK. Esta falla se produce cuando se carga contenido WebGPU inusual en el proceso de renderizado GLES de la GPU, lo que puede provocar un fallo en la biblioteca compartida de espacio de usuario de GLES de la GPU. Las versiones afectadas son 1.18.0–26.1 RTM, y la solución recomendada es actualizar a la versión 24.2.1.

Impacto y Escenarios de Ataque

Un atacante podría explotar esta vulnerabilidad creando una página web con contenido WebGPU malicioso. Al cargar este contenido en un sistema vulnerable, el atacante podría desencadenar el fallo de Write UAF en la biblioteca compartida de espacio de usuario de GLES de la GPU. En sistemas donde el proceso que ejecuta la carga de trabajo gráfica tiene privilegios del sistema, esto podría permitir al atacante ejecutar código arbitrario en el dispositivo, comprometiendo la seguridad del sistema. La severidad de esta vulnerabilidad radica en su potencial para permitir la ejecución remota de código, lo que podría resultar en la pérdida de confidencialidad, integridad y disponibilidad de los datos.

Contexto de Explotación

La vulnerabilidad CVE-2026-22165 fue publicada el 1 de mayo de 2026. La probabilidad de explotación es actualmente desconocida, pero la naturaleza de la vulnerabilidad (Write UAF) sugiere un riesgo potencial. No se han reportado campañas de explotación activas conocidas públicamente. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO

EPSS

0.01% (3% percentil)

Software Afectado

Componenteimagination-technologies-gpu-ddk
ProveedorImagination Technologies
Versión mínima1.18.0
Versión máxima26.1 RTM
Corregido en24.2.1

Clasificación de Debilidad (CWE)

CWE-416

Cronología

  1. Publicada
  2. EPSS actualizado

Mitigación y Workarounds

La mitigación principal para CVE-2026-22165 es actualizar la GPU DDK a la versión 24.2.1 o posterior. Si la actualización a la versión más reciente no es inmediatamente posible, se recomienda revisar y restringir el contenido WebGPU cargado en el sistema. Implementar políticas de seguridad que limiten los privilegios del proceso que ejecuta la carga de trabajo gráfica puede ayudar a reducir el impacto de una posible explotación. Después de la actualización, confirmar la corrección ejecutando pruebas de regresión y verificando que el contenido WebGPU se renderice correctamente sin causar fallos.

Cómo corregirlotraduciendo…

Actualice el driver de GPU DDK a la versión 24.2.1 o posterior para mitigar la vulnerabilidad de uso después de liberar (UAF).  Verifique la documentación de Imagination Technologies para obtener instrucciones específicas de actualización para su plataforma y configuración.  Asegúrese de aplicar las actualizaciones de seguridad más recientes para su sistema operativo y hardware.

Preguntas frecuentes

What is CVE-2026-22165 — Write UAF en GPU DDK 1.18.0–26.1 RTM?

CVE-2026-22165 es una vulnerabilidad de Write Use-After-Free (UAF) en la GPU DDK, que permite un fallo en el proceso de renderizado GLES de WebGPU. En sistemas con privilegios, podría permitir la ejecución de código.

Am I affected by CVE-2026-22165 en GPU DDK 1.18.0–26.1 RTM?

Si está utilizando la GPU DDK en la versión 1.18.0–26.1 RTM y ejecuta aplicaciones que utilizan WebGPU, es probable que esté afectado por esta vulnerabilidad.

How do I fix CVE-2026-22165 en GPU DDK 1.18.0–26.1 RTM?

La solución recomendada es actualizar la GPU DDK a la versión 24.2.1 o posterior. Si la actualización no es posible de inmediato, revise y restrinja el contenido WebGPU cargado.

Is CVE-2026-22165 being actively exploited?

Actualmente no se han reportado campañas de explotación activas conocidas públicamente, pero la naturaleza de la vulnerabilidad sugiere un riesgo potencial.

Where can I find the official GPU DDK advisory for CVE-2026-22165?

Consulte el sitio web oficial de Microsoft para obtener la última información y las actualizaciones de seguridad relacionadas con la GPU DDK. Busque la entrada de seguridad correspondiente a CVE-2026-22165.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...