A NVIDIA divulgou duas vulnerabilidades críticas de injeção de código que afetam sua plataforma robótica Isaac-GR00T.
As vulnerabilidades, rastreadas como CVE-2025-33183 e CVE-2025-33184, existem em componentes Python e podem permitir que invasores autenticados executem código arbitrário, aumentem privilégios e alterem dados do sistema.
As falhas representam uma ameaça significativa para as organizações que implantam soluções robóticas da NVIDIA em automação industrial, instalações de pesquisa e sistemas autônomos.
Ambas as vulnerabilidades apresentam uma pontuação CVSS elevada de 7,8, indicando sérios riscos de segurança que requerem remediação imediata.
Detalhes da vulnerabilidade
Os problemas de injeção de código afetam todas as versões do NVIDIA Isaac-GR00T N1.5 em todas as plataformas.
Um invasor com acesso local e privilégios de baixo nível poderia explorar essas vulnerabilidades sem a interação do usuário, obtendo potencialmente o controle completo do sistema.
CVE IDDescriçãoCVSS ScoreCWEAttack VectorCVE-2025-33183Injeção de código no componente Python permitindo execução arbitrária de código7.8CWE-94Local/Low PrivilegeCVE-2025-33184Injeção de código no componente Python permitindo execução arbitrária de código7.8CWE-94Local/Low Privilege
A exploração bem-sucedida pode resultar na execução não autorizada de códigos, escalonamento de privilégios, divulgação de informações e modificação de dados, comprometendo a integridade de operações robóticas críticas.
Ambas as vulnerabilidades resultam do manuseio inadequado de entradas fornecidas pelo usuário em componentes Python, classificados em CWE-94 (Controle Impróprio de Geração de Código).
Essa fraqueza tem sido historicamente explorada em vários ataques direcionados a ambientes de código interpretado.
A NVIDIA lançou uma atualização de software que aborda ambas as vulnerabilidades. O patch está disponível através do commit 7f53666 do GitHub do repositório Isaac-GR00T.
As organizações que executam o Isaac-GR00T devem atualizar imediatamente para qualquer ramificação de código que incorpore este commit específico para eliminar a superfície de ataque.
Os administradores de sistema devem priorizar a implantação da atualização de segurança em todas as implantações do Isaac-GR00T.
Dada a alta classificação de gravidade e o potencial de comprometimento crítico do sistema, a NVIDIA recomenda tratar isso como uma prioridade urgente.
As organizações que não conseguem corrigir imediatamente devem restringir o acesso local aos sistemas afetados e monitorar atividades suspeitas.
A Equipe de Resposta a Incidentes de Segurança de Produto (PSIRT) da NVIDIA continua monitorando tentativas de exploração.
As vulnerabilidades foram divulgadas de forma responsável por Peter Girnus da Trend Micro Zero Day Initiative, destacando a importância da pesquisa coordenada de vulnerabilidades.
Para obter informações abrangentes, visite a página Segurança de produtos da NVIDIA para acessar alertas de segurança completos e assinar notificações de vulnerabilidades futuras.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
