ALERTA EN LINUX: VULNERABILIDAD CRÍTICA EN TLP PERMITE A HACKERS SALTARSE LA AUTENTICACIÓN
Fecha: 13 de enero de 2026
Nivel de Impacto: Crítico
Se ha detectado un fallo de seguridad en la popular herramienta de ahorro de batería TLP. La vulnerabilidad, que afecta a sistemas multiusuario, permite manipular configuraciones de energía sin permisos de administrador.El núcleo del problema: CVE-2025-67859Investigadores de seguridad de openSUSE han identificado una falla grave de evasión de autenticación en el demonio de perfiles de energía de TLP (versión 1.9.0). El fallo, registrado como CVE-2025-67859, permite que un usuario local sin privilegios tome el control de la administración de energía del sistema.
¿Cómo funciona el ataque?
La vulnerabilidad explota una condición de carrera (race condition) en el mecanismo de Polkit. Al utilizar un método de autenticación obsoleto (unix-process), el sistema valida el ID de proceso (PID) del usuario. Un atacante puede aprovechar el brevísimo tiempo entre la captura y la validación del PID para sustituir su proceso por uno con mayores privilegios, engañando al sistema.
Otros riesgos detectados
Además del fallo principal, la auditoría reveló tres problemas adicionales que comprometen la estabilidad del sistema:
Cookies predecibles: Los tokens de autenticación usaban números secuenciales, permitiendo a un atacante secuestrar sesiones de otros usuarios.
Denegación de Servicio (DoS): Es posible crear perfiles de energía ilimitados sin estar autenticado, lo que agota la memoria del sistema y hace que el demonio falle.
Inestabilidad por excepciones: Una validación de entrada incorrecta permite enviar parámetros mal formados que generan errores no controlados.
Nota para administradores: Esta vulnerabilidad es especialmente riesgosa en entornos compartidos o servidores donde varios usuarios tienen acceso local.
Solución: Actualiza a TLP 1.9.1 inmediatamente
Tras un proceso de divulgación coordinado que comenzó en diciembre de 2025, el equipo de desarrollo de TLP lanzó la versión 1.9.1 el pasado 7 de enero de 2026.
Mejoras en la nueva versión:
Implementa autenticación robusta mediante "nombre de bus del sistema" D-Bus.
Sustituye cookies secuenciales por valores criptográficamente aleatorios.
Limita a un máximo de 16 las retenciones de perfiles simultáneas para evitar ataques DoS.
Refuerza la validación de todas las entradas de datos.
Recomendación: Si utilizas Linux en un portátil y tienes instalado TLP, verifica tu versión y actualiza mediante tu gestor de paquetes habitual (sudo apt update, zypper up, etc.) para proteger tu sistema.
Referencias:
Diciembre 2025
