PT-2025-40465 · Qemu+4 · Qemu+4

Cylo

+1

·

Publicado

2025-09-30

·

Atualizado

2026-06-16

·

CVE-2025-11234

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do Software Vulnerável e Versões Afetadas QEMU (versões afetadas não especificadas)
Descrição Existe uma falha no QEMU na qual a liberação do objeto QIOChannelWebsock durante um processo de handshake resulta em um vazamento de GSource. Este vazamento pode causar uma condição de uso após liberação (use-after-free) quando o callback tenta usar o canal. Um cliente malicioso com acesso de rede à porta WebSocket do VNC pode explorar essa falha para causar uma negação de serviço durante o handshake do WebSocket, antes da autenticação do cliente VNC.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

DoS

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416

Identificadores relacionados

ALSA-2026:1831
ALSA-2026:18772
ALSA-2026:5578
AZL-68193
AZL-68202
BDU:2025-16063
CVE-2025-11234
OESA-2026-1263
OESA-2026-1351
OESA-2026-1353
OESA-2026-1354
OESA-2026-1355
OESA-2026-1848
OPENSUSE-SU-2025:15821-1
OPENSUSE-SU-2025:20171-1
RHSA-2025:23228
RHSA-2026:1831
RHSA-2026:18772
RHSA-2026:22147
RHSA-2026:3077
RHSA-2026:3165
RHSA-2026:5578
SUSE-SU-2025:21230-1
SUSE-SU-2025:21233-1
SUSE-SU-2026:0022-1
SUSE-SU-2026:0039-1
SUSE-SU-2026:0288-1
SUSE-SU-2026:0356-1
SUSE-SU-2026:0436-1
SUSE-SU-2026:20008-1
SUSE-SU-2026:20038-1
SUSE-SU-2026:2406-1
USN-8073-1
USN-8412-1

Produtos afetados

Debian
Linuxmint
Qemu
Rocky Linux
Ubuntu