Hack Alerta

Vulnerabilidade no Apache NuttX (CVE-2025-48769) permite crash

Por Redação Hack Alerta Publicado em 02/01/2026 06:02 Riscos e Ameaças Tempo de leitura: 3 min

CVE-2025-48769 é um use‑after‑free em fs/vfs/fs_rename do Apache NuttX que pode causar crashes e operações indesejadas no sistema de arquivos. Afeta versões 7.20–12.10.0; a correção está disponível na 12.11.0. Não há relatos públicos de exploração ativa.

Uma falha do tipo use‑after‑free no sistema de arquivos virtual do Apache NuttX foi divulgada e corrigida; usuários devem atualizar imediatamente ou aplicar controles de rede até a mitigação ser implantada.

Resumo técnico

CVE-2025-48769 é uma condição de use‑after‑free localizada em fs/vfs/fs_rename do RTOS Apache NuttX. A falha surge de uma implementação recursiva que reutiliza um único buffer com dois ponteiros distintos, permitindo realocações com tamanho controlado pelo usuário que podem escrever em chunks de heap previamente liberados — situação que pode levar a renomeações indesejadas no sistema de arquivos e instabilidade.

Versões e correção

O problema afeta NuttX em versões de 7.20 até 12.10.0. A equipe do Apache NuttX publicou a versão 12.11.0 contendo correções abrangentes. A descoberta foi atribuída a Richard Jiayang Liu (University of Illinois) e o patch foi revisado por mantenedores antes da integração.

Impacto e exploração

Na divulgação não foram relatados casos confirmados de exploração ativa em ambiente selvagem. O risco é mais significativo para dispositivos embarcados que expõem serviços de sistema de arquivos por rede (por exemplo, protocolos que permitam escrita remota como FTP). Em tais cenários, um atacante remoto poderia provocar crash ou operações inesperadas no VFS.

Mitigações e medidas recomendadas

  • Atualizar para Apache NuttX 12.11.0 assim que possível;
  • Se atualização imediata não for factível, aplicar controles de rede para restringir acesso a serviços que ofereçam escrita em VFS (bloquear FTP e interfaces de administração expostas);
  • Priorizar análise de dispositivos embarcados e IoT que utilizem NuttX, incluindo verificação de versões em firmware e cadeias de atualização de dispositivos.

Limitações das informações

A divulgação pública classifica a gravidade como moderada e não reporta exploração ativa; portanto, embora o risco exista para cenários específicos, não há evidência de campanha ampla. Organizações devem avaliar exposição prática em seus ambientes antes de escalonar respostas além da correção e controle de acesso.

Considerações finais

Vulnerabilidades em RTOS são relevantes para fabricantes e operadores de dispositivos embarcados: a correção em 12.11.0 resolve o problema no código-fonte, mas dispositivos com firmware desatualizado ou não suportado permanecem em risco. Inventário de firmware, processo de atualização e controles de rede são a primeira linha de defesa.

Baseado em publicação original de Cyber Security News
Tags: #nuttx #cve-2025-48769 #embedded #iot #use-after-free #vfs #patch #apache #firmware
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar