Μια κρίσιμη ενημερωμένη έκδοση ασφαλείας που αντιμετωπίζει μια επικίνδυνη ευπάθεια deserialization στο NVIDIA Isaac Lab, ένα στοιχείο του πλαισίου NVIDIA Isaac Sim.
Το ελάττωμα θα μπορούσε να επιτρέψει στους εισβολείς να εκτελέσουν αυθαίρετο κώδικα σε συστήματα που επηρεάζονται, προτρέποντας την εταιρεία να λάβει άμεσα μέτρα.
Η ευπάθεια, που προσδιορίζεται ως CVE-2025-32210, προέρχεται από ακατάλληλο χειρισμό αποσημειωμένων δεδομένων στο Isaac Lab.
Οι εισβολείς με χαμηλή πρόσβαση προνομίων και αλληλεπίδραση με τον χρήστη μπορούν να εκμεταλλευτούν αυτό το ελάττωμα για να επιτύχουν πλήρη συμβιβασμό του συστήματος.
| Πεδίο | Αξία |
|---|---|
| Αναγνωριστικό CVE | CVE-2025-32210 |
| Περιγραφή | Το NVIDIA Isaac Lab περιέχει μια ευπάθεια αποσειριοποίησης. Μια επιτυχημένη εκμετάλλευση αυτής της ευπάθειας μπορεί να οδηγήσει σε εκτέλεση κώδικα. |
| Διάνυσμα CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
| Βασική βαθμολογία | 9.0 |
| CWE | CWE-502 |
| Επιπτώσεις | Εκτέλεση κώδικα |
| Προϊόν που επηρεάζεται | NVIDIA Isaac Lab |
| Επηρεασμένες εκδόσεις | Όλες οι εκδόσεις πριν από την έκδοση 2.3.0 |
Η ευπάθεια έχει βαθμολογία CVSS 9,0, υποδεικνύοντας κρίσιμη σοβαρότητα. Η επίθεση απαιτεί πρόσβαση στο δίκτυο και χαμηλά προνόμια, αλλά μόνο ελάχιστη αλληλεπίδραση χρήστη για να ενεργοποιηθεί.
Μετά την εκμετάλλευση, οι εισβολείς μπορούν να εκτελέσουν κακόβουλο κώδικα με μεγάλο αντίκτυπο στην εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα.
Η ευπάθεια κατηγοριοποιείται στην κατηγορία CWE-502, η οποία καλύπτει την αποσειριοποίηση μη αξιόπιστων δεδομένων, έναν κοινό φορέα επίθεσης στην ανάπτυξη λογισμικού.
Όλες οι εκδόσεις του NVIDIA Isaac Lab πριν από την έκδοση 2.3.0 είναι ευάλωτες σε αυτήν την επίθεση. Οι χρήστες θα πρέπει να αναβαθμίσουν αμέσως στο Isaac Lab v2.3.0 από το επίσημο αποθετήριο GitHub της NVIDIA για να λάβουν την ενημερωμένη έκδοση κώδικα ασφαλείας.
Η ενημερωμένη έκδοση αντιμετωπίζει το ελάττωμα της αφαίρεσης με την εφαρμογή μηχανισμών κατάλληλης επικύρωσης εισόδου και ασφαλούς χειρισμού δεδομένων.
Η NVIDIA συνιστά σε όλους τους οργανισμούς που χρησιμοποιούν το Isaac Lab να αναπτύξουν την ενημερωμένη έκδοση κώδικα χωρίς καθυστέρηση για να αποτρέψουν πιθανή εκμετάλλευση.
Οι χρήστες θα πρέπει να δώσουν προτεραιότητα σε αυτήν την ενημέρωση δεδομένης της κρίσιμης φύσης της ευπάθειας. Οι οργανισμοί θα πρέπει να επαληθεύουν όλες τις αναπτυγμένες παρουσίες του Isaac Lab και να εφαρμόζουν την ενημερωμένη έκδοση κώδικα σε περιβάλλοντα ανάπτυξης, δοκιμών και παραγωγής.
Επιπλέον, οι ομάδες θα πρέπει να παρακολουθούν για τυχόν ύποπτες δραστηριότητες ή μη εξουσιοδοτημένες προσπάθειες εκτέλεσης κώδικα σε συστήματα που εκτελούν παλαιότερες εκδόσεις.
Η NVIDIA δημοσίευσε αναλυτικές πληροφορίες στη σελίδα Ασφάλεια προϊόντων της. Συμπεριλαμβανομένων των επιλογών συνδρομής για δελτίο ασφαλείας ειδοποιήσεις και λεπτομέρειες σχετικά με τη διαδικασία διαχείρισης ευπάθειας.
Η εταιρεία αναγνώρισε επίσης τον Daniel Teixeira της NVIDIA AI Red Team για την υπεύθυνη αναφορά αυτού του ζητήματος.
Οι χρήστες ενθαρρύνονται να ενημερώνονται για τις αναδυόμενες απειλές ασφαλείας και να διατηρούν ενημερωμένο το λογισμικό τους σε όλα τα προϊόντα και τα στοιχεία της NVIDIA.
