El 18 de junio de 2026 se divulgó en la lista oss-security una lectura fuera de límites en el driver WWAN de MediaTek t7xx, el módulo del kernel que gestiona los módems 5G MediaTek T7xx presentes en muchos portátiles y equipos con conectividad celular integrada. El fallo recibió el identificador CVE-2026-43495 y una puntuación CVSS v3 de 8.8.
Qué falla exactamente
El driver vive en drivers/net/wwan/t7xx dentro del árbol del kernel. Durante el arranque del enlace con el módem, la función t7xx_port_enum_msg_handler() recibe un mensaje de enumeración de puertos y usa el campo port_count que envía el propio módem como tope del bucle que recorre las descripciones de puerto. El problema es que ese valor nunca se contrasta con el tamaño real del buffer recibido.
Un módem que declare port_count=65535 dentro de un buffer de apenas 12 bytes obliga al driver a iterar mucho más allá de los datos que realmente llegaron. El resultado es una lectura slab-out-of-bounds de hasta 262140 bytes de memoria contigua del kernel. Esa memoria puede contener datos de otras estructuras del sistema, así que el fallo abre la puerta a una fuga de información del kernel.
A quién afecta
Afecta a sistemas Linux con el driver t7xx compilado y un módem MediaTek T7xx conectado. Lo encontrarás sobre todo en portátiles con WWAN 5G integrada y en algunos equipos embebidos con conectividad celular. El vector de ataque es el propio firmware del módem: si un atacante controla o sustituye ese firmware, o conecta hardware manipulado, puede provocar la lectura fuera de límites. No es un fallo explotable desde una página web ni desde la red IP normal, sino desde el lado del módem.
La gravedad alta (8.8) refleja que la exposición de memoria del kernel puede combinarse con otras técnicas para escalar privilegios o saltarse mitigaciones como KASLR.
Mitigación y parche
El arreglo entró en mainline antes de la divulgación pública y se está retroportando a las ramas estables. El parche valida el tamaño del buffer antes de leer las cabeceras del mensaje de puertos, usa struct_size() para comprobar que hay datos suficientes una vez extraído port_count, y añade comprobaciones equivalentes en t7xx_parse_host_rt_data() al leer las cabeceras de rt_feature.
Qué hacer:
- Actualiza el kernel a una versión que incluya el fix. Las distribuciones principales están publicando paquetes corregidos; revisa los avisos de seguridad de la tuya.
- Si no usas WWAN MediaTek, puedes descargar el módulo (
rmmod mtk_t7xx) o evitar cargarlo mediante blacklist hasta tener el parche. - En entornos donde el firmware del módem provenga de un origen no confiable, trátalo como superficie de ataque.
Puedes consultar las versiones soportadas y el ciclo de vida del kernel en nuestra ficha de Linux kernel.
Fuente
- Tenable — CVE-2026-43495: https://www.tenable.com/cve/CVE-2026-43495
- NVD — CVE-2026-43495: https://nvd.nist.gov/vuln/detail/CVE-2026-43495