Majowy biuletyn bezpieczeństwa Qualcomm z 2026 roku opisuje szeroki zestaw podatności wykrytych w oprogramowaniu i firmware wykorzystywanym przez chipsety Qualcomm, które znajdują zastosowanie w miliardach urządzeń na całym świecie. Dotyczy on przede wszystkim smartfonów z Androidem, platform automotive, systemów przemysłowych oraz rozwiązań IoT. Biuletyn ma charakter miesięcznego zestawienia (monthly rollup) i stanowi podstawę do przygotowania aktualizacji bezpieczeństwa przez producentów urządzeń (OEM). [cyber.gc.ca]
Wśród opisanych luk znajdują się zarówno podatności o średnim poziomie ryzyka, jak i luki krytyczne, które mogą umożliwić zdalne wykonanie kodu lub trwałą kompromitację systemu na bardzo niskim poziomie. Najpoważniejszym przykładem jest CVE‑2026‑25254 (CVSS 9.8), zidentyfikowana w Qualcomm Software Center. Podatność ta wynika z błędnej kontroli autoryzacji w interfejsie SocketIO i umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu, bez konieczności interakcji użytkownika. Ze względu na swoją prostotę i wysoki wpływ na system lukę tę uznaje się za jedną z najgroźniejszych w całym biuletynie. [cyberpress.org], [infosecbulletin.com]
Kolejną krytyczną podatnością jest CVE‑2026‑25293 (CVSS 9.6), dotycząca firmware komunikacyjnego Power Line Communication (PLC). Błąd typu buffer overflow, połączony z niewystarczającą walidacją uprawnień, pozwala na wykonanie złośliwego kodu z poziomu sieci sąsiedniej. W kontekście urządzeń IoT i systemów przemysłowych stwarza to realne ryzyko rozprzestrzeniania się ataku bezpośrednio pomiędzy urządzeniami w tej samej infrastrukturze. [cyberpress.org], [netcrook.com]
Biuletyn zwraca również uwagę na CVE‑2026‑25262, podatność w Primary Bootloader. Jest to błąd typu write‑what‑where, który może zostać wykorzystany przez lokalnego atakującego do obejścia mechanizmów Secure Boot i uzyskania trwałej kontroli nad urządzeniem już na etapie uruchamiania systemu. Choć exploitacja wymaga lokalnego dostępu, skutki są wyjątkowo poważne, gdyż umożliwiają utrzymanie się atakującego na poziomie firmware. [cyberpress.org], [cyberwebspider.com]
Wysokie ryzyko wiąże się także z CVE‑2026‑25255 (CVSS 8.8), która dotyka Qualcomm Package Managera i Software Center. Błąd w interfejsie gRPC umożliwia eskalację uprawnień i dostęp do kontekstu systemowego, co może być wykorzystane jako element bardziej złożonych łańcuchów ataków łączących kilka podatności. [cyberpress.org]
Poza lukami stricte mobilnymi, biuletyn opisuje również problemy istotne dla sektora automotive i łączności bezprzewodowej. Przykładem jest CVE‑2026‑24082, use‑after‑free w komponentach GPU, który może prowadzić do uszkodzenia pamięci i destabilizacji systemów infotainment w pojazdach, a także podatności CVE‑2025‑47401 i CVE‑2025‑47403, związane z błędami buffer over‑read w firmware WLAN, skutkujące m.in. odmową usługi. [cyberpress.org]
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny