Algunas de las vulnerabilidades, como CVE-2025-24252 y CVE-2025-24132, se pueden encadenar para crear un exploit RCE de cero clics que permita a los delincuentes desplegar malware que se propague a los dispositivos de cualquier red local a la que se conecte el dispositivo infectado.

Esto podría allanar el camino para ataques sofisticados que pueden conducir al despliegue de puertas traseras y ransomware, lo que supone un grave riesgo para la seguridad. Las vulnerabilidades, en pocas palabras, podrían permitir la ejecución remota de código (RCE) con un solo clic o sin él, eludir las listas de control de acceso (ACL) y la interacción del usuario, la lectura local de archivos arbitrarios, la divulgación de información, los ataques de intermediario (AitM) y la denegación de servicio (DoS). Esto incluye el encadenamiento de CVE-2025-24252 y CVE-2025-24206 para lograr un RCE de clic cero en dispositivos macOS que estén conectados a la misma red que un atacante. Sin embargo, para que este exploit tenga éxito, el receptor AirPlay debe estar encendido y configurado como «Cualquiera en la misma red» o «Todos».

En un hipotético escenario de ataque, el dispositivo de una víctima podría verse comprometido al conectarse a una red Wi-Fi pública. Si el dispositivo se conecta más tarde a una red de empresa, podría proporcionar al atacante una forma de vulnerar otros dispositivos conectados a la misma red. A continuación se enumeran algunos de los otros fallos destacables:

• CVE-2025-24271 – Una vulnerabilidad de ACL que puede permitir a un atacante en la misma red que un Mac con sesión iniciada enviarle comandos de AirPlay sin emparejarlo.
• CVE-2025-24137 – Una vulnerabilidad que podría provocar la ejecución de código arbitrario o la finalización de una aplicación.
• CVE-2025-24132 – Una vulnerabilidad de desbordamiento de búfer basada en pila que podría dar lugar a una RCE de clic cero en altavoces y receptores que aprovechan el SDK de AirPlay.
• CVE-2025-24206 – Una vulnerabilidad de autenticación que podría permitir a un atacante en la red local eludir la política de autenticación.
• CVE-2025-24270 – Una vulnerabilidad que podría permitir a un atacante en la red local eludir la política de autenticación.
• CVE-2025-24251 – Una vulnerabilidad que podría permitir a un atacante en la red local provocar la finalización inesperada de una aplicación.
• CVE-2025-31197 – Una segunda vulnerabilidad que podría permitir a un atacante en la red local provocar la finalización inesperada de una aplicación.
• CVE-2025-30445 – Una vulnerabilidad de confusión de tipos que podría permitir a un atacante en la red local provocar la finalización inesperada de una aplicación.
• CVE-2025-31203 – Una vulnerabilidad de desbordamiento de enteros que podría permitir a un atacante en la red local provocar una condición de denegación de servicio.

Tras un proceso de divulgación responsable, las vulnerabilidades identificadas se han parcheado en las siguientes versiones:

• iOS 18.4 y iPadOS 18.4
• iPadOS 17.7.6
• macOS Sequoia 15.4
• macOS Sonoma 14.7.5
• macOS Ventura 13.7.5
• tvOS 18.4
• visionOS 2.4

Algunos de los puntos débiles (CVE-2025-24132 y CVE-2025-30422) también se han parcheado en AirPlay audio SDK 2.7.1, AirPlay video SDK 3.6.0.126 y CarPlay Communication Plug-in R18.1.

«Para las organizaciones, es imperativo que cualquier dispositivo corporativo de Apple y otras máquinas que admitan AirPlay se actualicen inmediatamente a las últimas versiones de software», dijo Oligo. «Los responsables de seguridad también deben comunicar claramente a sus empleados que todos sus dispositivos personales compatibles con AirPlay también deben actualizarse inmediatamente.»