Se ha descubierto una vulnerabilidad crítica en TLP, una utilidad popular para la optimización de baterías en laptops Linux, que permite a atacantes locales evadir controles de autenticación y manipular configuraciones de energía sin autorización. Investigadores de openSUSE identificaron un fallo grave en el daemon de perfiles de energía en TLP 1.9.0, registrado como CVE-2025-67859, que explota una condición de carrera en el mecanismo de autorización Polkit. Esta falla brinda control completo sobre ajustes del sistema a usuarios sin privilegios, afectando especialmente entornos multiusuario.
CVE y severidad
| CVE ID | Severidad | Vector de ataque | Impacto |
|---|---|---|---|
| CVE-2025-67859 | Alta | Local | Bypass de autenticación Polkit |
Productos afectados
TLP versión 1.9.0, daemon del perfil de energía con API D-Bus en sistemas operativos Linux.
Solución
Actualizar a la versión 1.9.1 de TLP que corrige todas las vulnerabilidades identificadas.
Recomendaciones
Priorizar la actualización inmediata de TLP en sistemas Linux, especialmente en entornos multiusuario, para evitar escalación de privilegios vía subsistemas de gestión de energía; verificar que la implementación use autenticación robusta y limitación de recursos concurrentes tras aplicar el parche.