El CVE-2025-54328 es una vulnerabilidad crítica de desbordamiento de búfer en la pila (stack-based buffer overflow) que afecta a múltiples procesadores Samsung Exynos y módems. Este fallo, con una puntuación CVSS de 10.0, permite a un atacante remoto ejecutar código arbitrario sin necesidad de autenticación ni interacción del usuario, simplemente mediante el envío de un mensaje SMS manipulado de tipo RP-DATA, comprometiendo por completo la confidencialidad, integridad y disponibilidad del dispositivo.
Puntos clave de la vulnerabilidad:
- Severidad crítica (CVSS 10.0): La máxima puntuación posible, indicando un impacto total.
- Vector de ataque remoto: Explotable a través de la red (AV:N) sin privilegios previos (PR:N).
- Ámbito ampliado (Scope: Changed): Un ataque exitoso puede comprometer componentes más allá del servicio SMS.
- Sin exploit público conocido: A día de hoy, no se ha confirmado la existencia de código de explotación público.
- Parche disponible: Samsung ha publicado actualizaciones de seguridad. La aplicación inmediata es crucial.
| CVE ID | CVE-2025-54328 |
| Severidad (CVSS) | 10.0 – CRÍTICA |
| Vector CVSS | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| Productos afectados | Procesadores Exynos 980, 990, 850, 1080, 2100, 1280, 2200, 1330, 1380, 1480, 2400, 1580, 2500, 9110, W920, W930, W1000, y Módems 5123, 5300, 5400. |
| Exploit público | No |
| Fecha publicación | 2026-04-06 |
Sistemas y versiones afectadas por el CVE-2025-54328
La vulnerabilidad reside en el subsistema de procesamiento de mensajes SMS (Specific Messaging Service) de los chipsets listados. No afecta a un software concreto, sino al firmware del procesador o módem, por lo que cualquier dispositivo que incorpore estos componentes de silicio es potencialmente vulnerable. Esto incluye smartphones de gama alta y media, wearables y dispositivos IoT de diversos fabricantes que utilicen estas plataformas.
| Producto / Componente | Versiones vulnerables | Versión parcheada |
|---|---|---|
| Exynos 980, 990, 850, 1080, 2100, 1280, 2200, 1330, 1380, 1480, 2400, 1580, 2500 | Todas las versiones de firmware anteriores al parche de seguridad de abril de 2026. | Consultar la actualización específica para cada modelo de dispositivo (OTA). |
| Exynos W920, W930, W1000 (Wearable) | Todas las versiones de firmware anteriores al parche. | Actualización proporcionada por el fabricante del wearable (ej. Samsung Galaxy Watch). |
| Exynos Modem 5123, 5300, 5400 | Firmware de módem anterior al parche. | Incluido en la actualización de firmware general del dispositivo. |
| Exynos Auto 9110 | Versiones para vehículos anteriores al parche. | Actualización gestionada por el fabricante del automóvil. |
Nota: La lista exacta de versiones y dispositivos finales depende de cada fabricante de equipos originales (OEM). Se debe consultar los avisos de seguridad de marcas como Samsung, Vivo o Xiaomi, que integran estos chipsets.
Análisis técnico del buffer overflow en SMS
El fallo se localiza en la función de parsing (análisis sintáctico) de los mensajes SMS de tipo RP-DATA (Relay Protocol Data), que forman parte del protocolo de transferencia de mensajes cortos. Un atacante puede enviar un paquete SMS especialmente manipulado que contenga una cadena de datos más larga de lo que el búfer asignado en la pila (stack) puede almacenar.
Mecanismo de explotación del CVE-2025-54328
Al no validar correctamente la longitud de los datos entrantes, la función vulnerable sobrescribe memoria adyacente en la pila de ejecución. Esto permite a un atacante remoto, con el conocimiento preciso del diseño de la memoria, sobreescribir la dirección de retorno de la función o punteros de instrucción. El resultado final es la capacidad de redirigir el flujo de ejecución a código malicioso inyectado por el atacante, logrando la ejecución remota de código (RCE) con los privilegios del subsistema de comunicación del procesador, que suelen ser elevados.
La combinación del vector de ataque (red) y el alcance cambiado (S:C) es lo que eleva la puntuación CVSS a 10.0. Un ataque exitoso no solo comprometería la aplicación de mensajes, sino que podría servir como puerta de entrada para un compromiso total del sistema operativo subyacente.
Cómo parchear la vulnerabilidad: guía paso a paso
La remediación debe aplicarse desde el fabricante del dispositivo (OEM), ya que requiere una actualización del firmware o del software de sistema que incluya los parches del fabricante del chipset (Samsung Semiconductor). No existe un parche universal; cada modelo de teléfono, reloj o dispositivo afectado necesita su propia actualización.
Actualización de firmware para dispositivos móviles y wearables
- Verificar la disponibilidad de actualización: En tu dispositivo, ve a Ajustes > Actualización de software > Descargar e instalar (la nomenclatura puede variar).
- Conectar a una red Wi-Fi estable: Asegúrate de tener batería suficiente o conecta el cargador.
- Instalar la actualización: Si está disponible una actualización de seguridad con fecha de abril de 2026 o posterior, procede a instalarla. El dispositivo se reiniciará.
- Para dispositivos de otros fabricantes: Consulta la web de soporte o la app de actualizaciones de tu marca (Vivo, Xiaomi, etc.) si utilizan procesadores Exynos en sus modelos.
Para administradores de flotas de dispositivos empresariales (MDM/UEM), es crítico probar y desplegar esta actualización de seguridad con la máxima prioridad en todos los dispositivos afectados.
Medidas adicionales de mitigación
Si no puedes aplicar el parche de inmediato, considera estas contramedidas para reducir la superficie de ataque, aunque no eliminan la vulnerabilidad subyacente:
- Restricción de mensajes SMS: En entornos corporativos, se puede configurar la pasarela de SMS para bloquear mensajes de números no confiables o de formatos complejos (RP-DATA) si no son necesarios para la operación.
- Deshabilitar SMS en dispositivos críticos: Para tablets o wearables que no requieran funcionalidad de mensajería SMS, desactívala en los ajustes de red o a través de políticas MDM.
- Segmentación de red: Aísla los dispositivos vulnerables en segmentos de red restringidos, limitando su exposición a internet o a redes públicas.
- Monitorización de logs: Busca patrones anómalos o intentos masivos de envío de SMS a direcciones IP internas en los logs de tu operador o firewall.
Estas medidas son solo temporales. La solución definitiva es la aplicación del parche de firmware.
Impacto potencial y escenarios de ataque
La explotación del CVE-2025-54328 abriría la puerta a escenarios de alto impacto. Un atacante podría, de manera silenciosa y remota, tomar el control completo de un smartphone para robar credenciales, espiar conversaciones, instalar spyware persistente o integrar el dispositivo en una botnet. En el caso de wearables con sensores de salud, los datos biométricos podrían ser exfiltrados. Para el módem de un vehículo conectado, un ataque podría interferir con sistemas telemáticos.
Dado que el ataque se produce al procesar un SMS, el usuario no necesita interactuar con el mensaje (UI:N). Basta con que el dispositivo tenga cobertura de red móvil y el número sea conocido. Esto facilita los ataques dirigidos a gran escala (smishing a nivel de firmware).
- Verifica en Ajustes > Información del software que la versión del firmware/baseband se ha actualizado a una posterior a abril de 2026.
- Confirma que el parche está instalado revisando el historial de actualizaciones de seguridad.
- Consulta las referencias oficiales de Samsung Semiconductor y de tu fabricante de dispositivos para confirmaciones específicas.
Referencias y recursos oficiales
- NVD – CVE-2025-54328 — Base de datos nacional de vulnerabilidades (NIST)
- Referencia: semiconductor.samsung.com
- Referencia: semiconductor.samsung.com
Recursos y fuentes oficiales:
¿Tu organización está preparada ante las ciberamenazas?
En Iberia Intelligence combinamos Ciberinteligencia y Automatización con IA para anticipar amenazas, proteger activos digitales y blindar la operativa de empresas e instituciones hispanohablantes.