- شناسه CVE-2025-27038 :CVE
- CWE-416 :CWE
- yes :Advisory
- منتشر شده: ژوئن 3, 2025
- به روز شده: ژوئن 3, 2025
- امتیاز: 7.5
- نوع حمله: Memory Corruption
- اثر گذاری: Unknown
- حوزه: سخت افزار
- برند: Qualcomm
- محصول: Snapdragon
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری CVE-2025-27038 یکی از سه آسیبپذیری روز صفر در درایور پردازنده گرافیکی Adreno شرکت Qualcomm است. این آسیبپذیری از نوع استفاده پس از آزادسازی حافظه (Use After Free) بوده که باعث خرابی حافظه (Memory Corruption) در هنگام نمایش گرافیک در مرورگر کروم میشود. مهاجمان از این باگ در حملات واقعی و هدفمند استفاده کردهاند.
توضیحات
در این باگ، مرورگر کروم هنگام استفاده از درایور گرافیکی Adreno، بخشی از حافظهای را که قبلاً آزاد شده را مجدداً مورد استفاده قرار میدهد. این موضوع باعث میشود تا مهاجم بتواند دادههای مخرب خود را در آن فضا جای داده و باعث خراب شدن برنامه یا اجرای کد دلخواه شود. این نوع باگ به استفاده پس از آزادسازی (Use After Free) معروف بوده و تحت ردهبندی CWE-416 ثبت شده است.
Qualcomm این آسیبپذیری را در مارس 2025 دریافت کرده و پچ امنیتی آن را در می 2025 برای تولیدکنندگان سختافزار (OEMs) منتشر کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 7.5 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected at AR8031
affected at CSRA6620 affected at CSRA6640 affected at FastConnect 7800 affected at QCA2066 affected at QCA6391 affected at QCM6125 affected at QCM8550 affected at QCN9011 affected at QCN9012 affected at QCS6125 affected at QCS8550 affected at Qualcommr Video Collaboration VC1 Platform affected at SM6475 affected at SM6650 affected at SM6650P affected at SM7435 affected at SM7635 affected at SM7635P affected at Smart Audio 400 Platform affected at Snapdragon 4 Gen 2 Mobile Platform affected at Snapdragon 6 Gen 1 Mobile Platform affected at Snapdragon 680 4G Mobile Platform affected at Snapdragon 685 4G Mobile Platform (SM6225-AD) affected at Snapdragon W5+ Gen 1 Wearable Platform affected at SW5100 affected at SW5100P affected at WCD9335 affected at WCD9370 affected at WCD9375 affected at WCD9378 affected at WCD9385 affected at WCD9395 affected at WCN3950 affected at WCN3980 affected at WCN3988 affected at WCN6650 affected at WCN6740 affected at WCN6755 affected at WSA8810 affected at WSA8815 affected at WSA8830 affected at WSA8832 affected at WSA8835 |
Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables | Qualcomm, Inc. |
لیست محصولات بروز شده
تمام محصولات آسیبپذیر، در ماه می 2025 توسط Qualcomm پچ شدهاند و نسخههای پچ شده برای تولیدکنندگان تجهیزات (OEMها) ارسال شده است.
نتیجه گیری
با توجه به اکسپلویت فعال این آسیب پذیری، به همه کاربران و تولیدکنندگان توصیه میشود در اسرع وقت بهروزرسانی امنیتی ارائهشده را نصب و اعمال کنند تا از سوءاستفادههای احتمالی جلوگیری شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-27038
- https://www.cvedetails.com/cve/CVE-2025-27038/
- https://docs.qualcomm.com/product/publicresources/securitybulletin/june-2025-bulletin.html
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-27038
- https://vuldb.com/?id.310948
- https://nvd.nist.gov/vuln/detail/CVE-2025-27038
- https://cwe.mitre.org/data/definitions/416.html
