Se han descubierto tres vulnerabilidades de seguridad en el cifrado de datos e integridad de la interconexión exprés de componentes periféricos (PCIe) ( IDE ) especificación de protocolo que podría exponer a un atacante local a riesgos graves.
Las fallas afectan a la revisión 5.0 de la especificación básica de PCIe y posteriores en el mecanismo de protocolo introducido por la Notificación de cambios de ingeniería (ECN) del IDE, según el Grupo de Interés Especial de PCI ( PCI-SIG ).
«Esto podría provocar una exposición de seguridad, que incluye, entre otros, uno o más de los siguientes componentes de PCIe afectados, según la implementación: (i) divulgación de información, (ii) aumento de privilegios o (iii) denegación de servicio», dijo el consorcio apuntado .
PCIe es un estándar de alta velocidad ampliamente utilizado para conectar periféricos y componentes de hardware, incluidas tarjetas gráficas, tarjetas de sonido, adaptadores Wi-Fi y Ethernet y dispositivos de almacenamiento, dentro de ordenadores y servidores. Introducido en PCIe 6.0, el PCIe IDE está diseñado para proteger las transferencias de datos mediante protecciones de cifrado e integridad.
El tres vulnerabilidades de IDE , descubiertos por los empleados de Intel Arie Aharon, Makaram Raghunandan, Scott Constable y Shalini Sharma, se enumeran a continuación -
- CVE-2025-9612 (Reordenamiento de IDE prohibido): la falta de verificación de integridad en un puerto receptor puede permitir reordenar el tráfico PCIe y hacer que el receptor procese datos obsoletos.
- CVE-2025-9613 (Redirección del tiempo de espera de finalización): la eliminación incompleta de un tiempo de espera de finalización puede permitir que un receptor acepte datos incorrectos cuando un atacante inyecta un paquete con una etiqueta coincidente.
- CVE-2025-9614 (Redireccionamiento publicado retrasado): el vaciado incompleto o el cambio de clave de una transmisión IDE pueden provocar que el receptor consuma paquetes de datos obsoletos e incorrectos.
PCI-SIG dijo que la explotación exitosa de las vulnerabilidades antes mencionadas podría socavar los objetivos de confidencialidad, integridad y seguridad del IDE. Sin embargo, los ataques dependen de la obtención de acceso físico o de bajo nivel a la interfaz IDE PCIe del ordenador objetivo, lo que los convierte en errores de baja gravedad (puntuación CVSS v3.1:3.0/puntuación CVSS v4:1.8).
«Las tres vulnerabilidades podrían exponer a los sistemas que implementan el IDE y el Protocolo de seguridad de interfaz de dominio confiable (TDISP) a un adversario que puede romper el aislamiento entre los entornos de ejecución confiables», afirma.
En un aviso publicado el martes, el Centro de Coordinación del CERT (CERT/CC) instó a los fabricantes a seguir el estándar PCIe 6.0 actualizado y aplicar la guía Erratum #1 a sus implementaciones de IDE. Intel y AMD han publicado sus propias alertas en las que se indica que los problemas afectan a los siguientes productos:
- Procesadores Intel Xeon 6 con núcleos P
- SoC Intel Xeon serie 6700P-B/6500P-B con núcleos P.
- Procesadores AMD EPYC serie 9005
- Procesadores integrados AMD EPYC serie 9005
«Los usuarios finales deben aplicar las actualizaciones de firmware proporcionadas por sus proveedores de sistemas o componentes, especialmente en entornos que dependen del IDE para proteger los datos confidenciales», afirma.