Google publicó el lunes parches para 124 vulnerabilidades de seguridad que afectan a su sistema operativo Android correspondientes a junio de 2026, incluido un fallo de alta gravedad en el componente Framework que ha sido explotado activamente.
Identificada como CVE-2025-48595 (puntuación CVSS: 8.4), la vulnerabilidad se describe como un caso de escalada de privilegios que no requiere interacción del usuario. El fallo afecta a dispositivos con Android 14, 15, 16 y 16 QPR2 (Quarterly Platform Release 2).
En múltiples ubicaciones, existe una forma posible de lograr la ejecución de código debido a un desbordamiento de enteros. Esto podría conllevar una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. No se requiere interacción del usuario para la explotación.
Google ha reconocido que existen indicios de que CVE-2025-48595 podría estar siendo objeto de una "explotación limitada y dirigida". Como es habitual, la compañía no reveló detalles sobre los responsables, los objetivos afectados ni la magnitud de tales esfuerzos.
No obstante, fallos similares han sido utilizados por proveedores de spyware comercial para atacar a personas de alto perfil en campañas extremadamente dirigidas.
Además, se han corregido varias vulnerabilidades en el componente System, la más grave de las cuales podría provocar una escalada local de privilegios sin necesidad de permisos adicionales.
Google ha lanzado dos conjuntos de parches: los niveles de parche de seguridad 2026-06-01 y 2026-06-05. Este último incluye todas las correcciones del primer conjunto, junto con parches para el kernel y componentes de chipsets de terceros de Imagination Technologies, MediaTek, Qualcomm y Unisoc.
Actualización
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) añadió el 2 de junio de 2026 la vulnerabilidad CVE-2025-48595 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias de la Rama Ejecutiva Civil Federal (FCEB) remediar el fallo antes del 5 de junio de 2026.
