CVE-2025-71089

{"id": "CVE-2025-71089", "cveTags": [], "metrics": {"cvssMetricV31": [{"type": "Secondary", "source": "416baaa9-dc9f-4396-8d5f-8c081fb06d67", "cvssData": {"scope": "CHANGED", "version": "3.1", "baseScore": 7.8, "attackVector": "LOCAL", "baseSeverity": "HIGH", "vectorString": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H", "integrityImpact": "HIGH", "userInteraction": "NONE", "attackComplexity": "HIGH", "availabilityImpact": "HIGH", "privilegesRequired": "LOW", "confidentialityImpact": "HIGH"}, "impactScore": 6.0, "exploitabilityScore": 1.1}, {"type": "Primary", "source": "nvd@nist.gov", "cvssData": {"scope": "UNCHANGED", "version": "3.1", "baseScore": 7.8, "attackVector": "LOCAL", "baseSeverity": "HIGH", "vectorString": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H", "integrityImpact": "HIGH", "userInteraction": "NONE", "attackComplexity": "LOW", "availabilityImpact": "HIGH", "privilegesRequired": "LOW", "confidentialityImpact": "HIGH"}, "impactScore": 5.9, "exploitabilityScore": 1.8}]}, "published": "2026-01-13T16:16:08.583", "references": [{"url": "https://git.kernel.org/stable/c/240cd7f2812cc25496b12063d11c823618f364e9", "tags": ["Patch"], "source": "416baaa9-dc9f-4396-8d5f-8c081fb06d67"}, {"url": "https://git.kernel.org/stable/c/72f98ef9a4be30d2a60136dd6faee376f780d06c", "tags": ["Patch"], "source": "416baaa9-dc9f-4396-8d5f-8c081fb06d67"}, {"url": "https://git.kernel.org/stable/c/7cad37e358970af1bb49030ff01f06a69fa7d985", "tags": ["Patch"], "source": "416baaa9-dc9f-4396-8d5f-8c081fb06d67"}, {"url": "https://git.kernel.org/stable/c/b34289505180a83607fcfdce14b5a290d0528476", "tags": ["Patch"], "source": "416baaa9-dc9f-4396-8d5f-8c081fb06d67"}, {"url": "https://git.kernel.org/stable/c/c2c3f1a3fd74ef16cf115f0c558616a13a8471b4", "tags": ["Patch"], "source": "416baaa9-dc9f-4396-8d5f-8c081fb06d67"}, {"url": "https://git.kernel.org/stable/c/c341dee80b5df49a936182341b36395c831c2661", "tags": ["Patch"], "source": "416baaa9-dc9f-4396-8d5f-8c081fb06d67"}], "vulnStatus": "Modified", "weaknesses": [{"type": "Primary", "source": "nvd@nist.gov", "description": [{"lang": "en", "value": "NVD-CWE-noinfo"}]}], "descriptions": [{"lang": "en", "value": "In the Linux kernel, the following vulnerability has been resolved:\n\niommu: disable SVA when CONFIG_X86 is set\n\nPatch series \"Fix stale IOTLB entries for kernel address space\", v7.\n\nThis proposes a fix for a security vulnerability related to IOMMU Shared\nVirtual Addressing (SVA). In an SVA context, an IOMMU can cache kernel\npage table entries. When a kernel page table page is freed and\nreallocated for another purpose, the IOMMU might still hold stale,\nincorrect entries. This can be exploited to cause a use-after-free or\nwrite-after-free condition, potentially leading to privilege escalation or\ndata corruption.\n\nThis solution introduces a deferred freeing mechanism for kernel page\ntable pages, which provides a safe window to notify the IOMMU to\ninvalidate its caches before the page is reused.\n\n\nThis patch (of 8):\n\nIn the IOMMU Shared Virtual Addressing (SVA) context, the IOMMU hardware\nshares and walks the CPU's page tables. The x86 architecture maps the\nkernel's virtual address space into the upper portion of every process's\npage table. Consequently, in an SVA context, the IOMMU hardware can walk\nand cache kernel page table entries.\n\nThe Linux kernel currently lacks a notification mechanism for kernel page\ntable changes, specifically when page table pages are freed and reused. \nThe IOMMU driver is only notified of changes to user virtual address\nmappings. This can cause the IOMMU's internal caches to retain stale\nentries for kernel VA.\n\nUse-After-Free (UAF) and Write-After-Free (WAF) conditions arise when\nkernel page table pages are freed and later reallocated. The IOMMU could\nmisinterpret the new data as valid page table entries. The IOMMU might\nthen walk into attacker-controlled memory, leading to arbitrary physical\nmemory DMA access or privilege escalation. This is also a\nWrite-After-Free issue, as the IOMMU will potentially continue to write\nAccessed and Dirty bits to the freed memory while attempting to walk the\nstale page tables.\n\nCurrently, SVA contexts are unprivileged and cannot access kernel\nmappings. However, the IOMMU will still walk kernel-only page tables all\nthe way down to the leaf entries, where it realizes the mapping is for the\nkernel and errors out. This means the IOMMU still caches these\nintermediate page table entries, making the described vulnerability a real\nconcern.\n\nDisable SVA on x86 architecture until the IOMMU can receive notification\nto flush the paging cache before freeing the CPU kernel page table pages."}, {"lang": "es", "value": "En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:\n\niommu: deshabilitar SVA cuando CONFIG_X86 est\u00e1 configurado\n\nSerie de parches 'Correcci\u00f3n de entradas IOTLB obsoletas para el espacio de direcciones del kernel', v7.\n\nEsto propone una correcci\u00f3n para una vulnerabilidad de seguridad relacionada con el Direccionamiento Virtual Compartido (SVA) de IOMMU. En un contexto SVA, un IOMMU puede almacenar en cach\u00e9 entradas de la tabla de p\u00e1ginas del kernel. Cuando una p\u00e1gina de la tabla de p\u00e1ginas del kernel es liberada y reasignada para otro prop\u00f3sito, el IOMMU a\u00fan podr\u00eda contener entradas obsoletas e incorrectas. Esto puede ser explotado para causar una condici\u00f3n de uso despu\u00e9s de liberaci\u00f3n o de escritura despu\u00e9s de liberaci\u00f3n, lo que podr\u00eda llevar a una escalada de privilegios o a la corrupci\u00f3n de datos.\n\nEsta soluci\u00f3n introduce un mecanismo de liberaci\u00f3n diferida para las p\u00e1ginas de la tabla de p\u00e1ginas del kernel, que proporciona una ventana segura para notificar al IOMMU que invalide sus cach\u00e9s antes de que la p\u00e1gina sea reutilizada.\n\nEste parche (de 8):\n\nEn el contexto de Direccionamiento Virtual Compartido (SVA) de IOMMU, el hardware IOMMU comparte y recorre las tablas de p\u00e1ginas de la CPU. La arquitectura x86 mapea el espacio de direcciones virtual del kernel en la porci\u00f3n superior de la tabla de p\u00e1ginas de cada proceso. En consecuencia, en un contexto SVA, el hardware IOMMU puede recorrer y almacenar en cach\u00e9 entradas de la tabla de p\u00e1ginas del kernel.\n\nEl kernel de Linux actualmente carece de un mecanismo de notificaci\u00f3n para los cambios en la tabla de p\u00e1ginas del kernel, espec\u00edficamente cuando las p\u00e1ginas de la tabla de p\u00e1ginas son liberadas y reutilizadas. El controlador IOMMU solo es notificado de los cambios en las asignaciones de direcciones virtuales de usuario. Esto puede hacer que las cach\u00e9s internas del IOMMU retengan entradas obsoletas para VA del kernel.\n\nLas condiciones de Uso Despu\u00e9s de Liberaci\u00f3n (UAF) y Escritura Despu\u00e9s de Liberaci\u00f3n (WAF) surgen cuando las p\u00e1ginas de la tabla de p\u00e1ginas del kernel son liberadas y posteriormente reasignadas. El IOMMU podr\u00eda malinterpretar los nuevos datos como entradas v\u00e1lidas de la tabla de p\u00e1ginas. El IOMMU podr\u00eda entonces recorrer memoria controlada por el atacante, lo que llevar\u00eda a un acceso DMA arbitrario a la memoria f\u00edsica o a una escalada de privilegios. Esto tambi\u00e9n es un problema de Escritura Despu\u00e9s de Liberaci\u00f3n, ya que el IOMMU potencialmente continuar\u00e1 escribiendo bits de Acceso y Sucio en la memoria liberada mientras intenta recorrer las tablas de p\u00e1ginas obsoletas.\n\nActualmente, los contextos SVA no tienen privilegios y no pueden acceder a las asignaciones del kernel. Sin embargo, el IOMMU seguir\u00e1 recorriendo tablas de p\u00e1ginas solo del kernel hasta las entradas hoja, donde se da cuenta de que la asignaci\u00f3n es para el kernel y produce un error. Esto significa que el IOMMU a\u00fan almacena en cach\u00e9 estas entradas intermedias de la tabla de p\u00e1ginas, lo que convierte la vulnerabilidad descrita en una preocupaci\u00f3n real.\n\nDeshabilitar SVA en la arquitectura x86 hasta que el IOMMU pueda recibir notificaci\u00f3n para vaciar la cach\u00e9 de paginaci\u00f3n antes de liberar las p\u00e1ginas de la tabla de p\u00e1ginas del kernel de la CPU."}], "lastModified": "2026-04-02T09:16:20.120", "configurations": [{"nodes": [{"negate": false, "cpeMatch": [{"criteria": "cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*", "vulnerable": true, "matchCriteriaId": "E5B74AED-8F4D-46D6-9567-2309ADEA5E74", "versionEndExcluding": "5.15.200", "versionStartIncluding": "5.2"}, {"criteria": "cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*", "vulnerable": true, "matchCriteriaId": "E9C856E1-4308-4C0B-A973-7DD375DF66C4", "versionEndExcluding": "6.1.163", "versionStartIncluding": "5.16"}, {"criteria": "cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*", "vulnerable": true, "matchCriteriaId": "43C3A206-5EEE-417B-AA0F-EF8972E7A9F0", "versionEndExcluding": "6.6.120", "versionStartIncluding": "6.2"}, {"criteria": "cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*", "vulnerable": true, "matchCriteriaId": "32BF4A52-377C-44ED-B5E6-7EA5D896E98B", "versionEndExcluding": "6.12.64", "versionStartIncluding": "6.7"}, {"criteria": "cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*", "vulnerable": true, "matchCriteriaId": "DC988EA0-0E32-457A-BF95-89BEB31A227B", "versionEndExcluding": "6.18.4", "versionStartIncluding": "6.13"}], "operator": "OR"}]}], "sourceIdentifier": "416baaa9-dc9f-4396-8d5f-8c081fb06d67"}