Una vulnerabilidad crítica en la herramienta de gestión de energía TLP para Linux ha sido corregida después de que investigadores descubrieran que permitía a atacantes locales evadir la autenticación y alterar configuraciones del sistema. El fallo, identificado en la versión 1.9.0 y rastreado como CVE-2025-67859, se originaba en una condición de carrera en el mecanismo Polkit. Los desarrolladores de TLP lanzaron la versión 1.9.1 el 7 de enero de 2026, abordando el problema tras una divulgación coordinada.
Investigadores de seguridad de SUSE y openSUSE descubrieron una grave evasión de autenticación en la versión 1.9.0 de TLP, una utilidad popular para optimizar la duración de la batería de portátiles en sistemas Linux. Rastreada como CVE-2025-67859, la vulnerabilidad explotaba el sujeto obsoleto «unix-process» de Polkit, que depende de los ID de procesos para la autorización. Este método, conocido por ser susceptible a condiciones de carrera desde CVE-2013-4288, permitía a usuarios locales sin privilegios sustituir sus procesos durante las comprobaciones de autenticación, obteniendo control sobre perfiles de energía y registro del demonio sin credenciales administrativas. El problema surgió con la introducción de un nuevo demonio de energía en TLP 1.9.0, que incluye una API D-Bus para configuraciones del sistema. Los investigadores Matthias Gerstner y Filippo Bonazzi identificaron que los atacantes podían explotar esto para modificar arbitrariamente configuraciones en entornos multiusuario, planteando riesgos de manipulación del sistema. Fallos adicionales incluían valores de cookies predecibles que permitían la liberación no autorizada de bloqueos de perfiles, excepciones no manejadas de solicitudes malformadas y bloqueos de perfiles ilimitados que podían llevar a ataques de denegación de servicio. Estos ampliaban colectivamente la superficie de ataque. El 16 de diciembre de 2025, los investigadores notificaron al desarrollador upstream de TLP, quien respondió rápidamente y proporcionó parches en cuatro días. Tras la revisión, TLP 1.9.1 se lanzó el 7 de enero de 2026, implementando correcciones clave: cambio al sujeto seguro «system bus name» de Polkit, uso de valores de cookies aleatorios criptográficamente, limitación de bloqueos de perfiles concurrentes a 16 y mejora de la validación de entrada. Se insta a los usuarios y administradores de Linux a actualizar a la versión 1.9.1 o posterior mediante el gestor de paquetes de su distribución. Este incidente resalta la necesidad de seguridad robusta en utilidades que manejan operaciones privilegiadas D-Bus, con la respuesta colaborativa rápida ejemplificando una gestión efectiva de vulnerabilidades.
