Resumen ejecutivo
Google ha publicado el boletín de seguridad de Android correspondiente a este mes, en el que se han identificado y corregido 107 vulnerabilidades. De estas, 1 es crítica (CVSS ≥ 9.0) y 26 son de severidad alta (CVSS 7.5-8.9), lo que subraya la importancia de aplicar las actualizaciones de manera inmediata. Además, hay indicios de que las siguientes vulnerabilidades podrían estar bajo explotación limitada y dirigida: CVE-2025-48633, CVE-2025-48572. Estas señales sugieren un riesgo potencial para dispositivos que no hayan sido actualizados, por lo que se recomienda priorizar la aplicación de los parches y reforzar la monitorización de sistemas afectados.
Recursos afectados
- Framework
- Media Framework
- Sistema
- Google Play
- Kernel
- Componentes Qualcomm
Análisis técnico
Vulnerabilidades críticas
- CVE-2025-6573: El software del kernel en un entorno de ejecución no confiable (REE) puede filtrar información del entorno de ejecución confiable (TEE).
- CWE-280
- CVSS: 9.8 (crítica)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Explotación: No detectada
Vulnerabilidades altas destacadas
- CVE-2025-27074: Corrupción de memoria al procesar una respuesta de comando GP.
- CWE-131
- CVSS: 8.8 (alta)
- Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2025-38500: Se resolvió una vulnerabilidad en el kernel de Linux relacionada con el uso indebido de memoria tras cambiar la interfaz collect_md en xfrm, evitando un doble liberación de memoria.
- CWE-416
- CVSS: 7.8 (alta)
- Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2025-27053: Corrupción de memoria durante el uso de la aplicación PlayReady al procesar comandos TA.
- CWE-131
- CVSS: 7.8 (alta)
- Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2025-47354: Corrupción de memoria al asignar buffers en el servicio DSP.
- CWE-416
- CVSS: 7.8 (alta)
- Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2025-27070: Corrupción de memoria al ejecutar comandos de cifrado y descifrado.
- CWE-787
- CVSS: 7.8 (alta)
- Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2025-27054: Corrupción de memoria al procesar un archivo de licencia malformado durante el reinicio.
- CWE-787
- CVSS: 7.8 (alta)
- Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2023-40130: En onBindingDied de CallRedirectionProcessor.java, hay un posible bypass de permisos por un error lógico, lo que permite escalación local de privilegios y lanzamiento de actividad en segundo plano sin interacción del usuario.
- NVD-CWE-noinfo
- CVSS: 7.8 (alta)
- Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2025-47351: Corrupción de memoria al procesar los buffers del usuario.
- CWE-190
- CVSS: 7.8 (alta)
- Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2025-38349: Se resolvió una vulnerabilidad en el kernel de Linux donde el decremento del recuento de referencias de epoll se realizaba mientras se mantenía el mutex, lo que podía causar un uso después de liberar. La solución consiste en mover el decremento de...
- CWE-416
- CVSS: 7.8 (alta)
- Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2025-11133: En el módem nr, una posible caída del sistema se debe a una validación de entrada inadecuada, lo que podría provocar un denegación de servicio remoto sin necesidad de privilegios adicionales.
- NVD-CWE-noinfo
- CVSS: 7.5 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- Explotación: No detectada
Mitigación / Solución
Se recomienda aplicar las actualizaciones de seguridad de Android tan pronto como estén disponibles para su dispositivo. Los usuarios deben verificar en Configuración > Sistema > Actualización del sistema para comprobar la disponibilidad de parches.