Η NVIDIA εξέδωσε μια κρίσιμη ενημέρωση ασφαλείας που αντιμετωπίζει δύο ευπάθειες υψηλής σοβαρότητας στο NeMo Framework της που θα μπορούσαν να επιτρέψουν στους εισβολείς να εκτελέσουν κακόβουλο κώδικα και να κλιμακώσουν τα προνόμια στα επηρεαζόμενα συστήματα.
Τα τρωτά σημεία, που παρακολουθούνται ως CVE-2025-23361 και CVE-2025-33178, έχουν βαθμολογία CVSS 7,8 και επηρεάζουν όλες τις εκδόσεις του NeMo Framework πριν από την έκδοση 2.5.0 σε όλες τις πλατφόρμες.
Ευπάθειες πλαισίου NVIDIA NeMo
Η πρώτη ευπάθεια, CVE-2025-23361υπάρχει σε ένα σενάριο πλαισίου, όπου η κακόβουλη είσοδος από έναν εισβολέα μπορεί να προκαλέσει ακατάλληλο έλεγχο στη δημιουργία κώδικα.
Το δεύτερο ελάττωμα, το CVE-2025-33178, βρίσκεται στο στοιχείο υπηρεσιών Bert και επιτρέπει την έγχυση κώδικα μέσω κακόβουλων δεδομένων.
Και τα δύο τρωτά σημεία μοιράζονται το ίδιο διάνυσμα επίθεσης και απαιτούν τοπική πρόσβαση με χαμηλά προνόμια.
| Αναγνωριστικό CVE | Περιγραφή | Βαθμολογία CVSS | CWE |
|---|---|---|---|
| CVE-2025-23361 | Λανθασμένος έλεγχος δημιουργίας κώδικα στο σενάριο πλαισίου | 7.8 | CWE-94 |
| CVE-2025-33178 | Έγχυση κωδικού στο στοιχείο υπηρεσιών bert | 7.8 | CWE-94 |
Η επιτυχής εκμετάλλευση θα μπορούσε να οδηγήσει σε εκτέλεση κώδικα, κλιμάκωση προνομίων, αποκάλυψη πληροφοριών και χειραγώγηση δεδομένων, θέτοντας σημαντικούς κινδύνους για τους οργανισμούς που χρησιμοποιούν το πλαίσιο.
Τα τρωτά σημεία ανακαλύφθηκαν και αναφέρθηκαν από ερευνητές ασφαλείας από το εργαστήριο TencentAISec και NISL στο Πανεπιστήμιο Tsinghua, υπογραμμίζοντας τη σημασία της συλλογικής έρευνας για την ασφάλεια.
Όλες οι εκδόσεις του NVIDIA NeMo Framework πριν από την 2.5.0 είναι ευάλωτες, ανεξάρτητα από λειτουργικό σύστημα ή πλατφόρμα. Οργανισμοί που χρησιμοποιούν παλαιότερες εκδόσεις υποκαταστημάτων λογισμικού κινδυνεύουν επίσης και θα πρέπει να αναβαθμιστούν αμέσως.
NVIDIA συνιστά που οι χρήστες κλωνοποιούν ή ενημερώνουν στην έκδοση NeMo Framework 2.5.0 ή μεταγενέστερη, διαθέσιμη από το επίσημο αποθετήριο GitHub της NVIDIA και τον διαχειριστή πακέτων PyPI.
Η εταιρεία τονίζει ότι οι χρήστες σε προηγούμενες εκδόσεις υποκαταστημάτων θα πρέπει να αναβαθμίσουν στην πιο πρόσφατη έκδοση υποκαταστήματος.
Οι οργανισμοί θα πρέπει να αξιολογούν τις συγκεκριμένες διαμορφώσεις τους και να εφαρμόζουν την ενημέρωση ασφαλείας αμέσως για τον μετριασμό των πιθανών κινδύνων εκμετάλλευσης.
