A NVIDIA lançou uma atualização crítica de segurança abordando duas vulnerabilidades de alta gravidade em seu NeMo Framework que podem permitir que invasores executem códigos maliciosos e aumentem privilégios nos sistemas afetados.
As vulnerabilidades, rastreadas como CVE-2025-23361 e CVE-2025-33178, possuem uma pontuação CVSS de 7,8 e afetam todas as versões do NeMo Framework anteriores à versão 2.5.0 em todas as plataformas.
Vulnerabilidades da estrutura NVIDIA NeMo
A primeira vulnerabilidade, CVE-2025-23361, existe em um script de estrutura, onde entradas maliciosas de um invasor podem causar controle inadequado sobre a geração de código.
A segunda falha, CVE-2025-33178, reside no componente de serviços Bert e permite a injeção de código através de dados maliciosos.
Ambas as vulnerabilidades compartilham o mesmo vetor de ataque e requerem acesso local com poucos privilégios.
CVE IDDescriçãoPontuação CVSSCWECVE-2025-23361Controle inadequado de geração de código no script da estrutura7.8CWE-94CVE-2025-33178Injeção de código no componente de serviços bert7.8CWE-94
A exploração bem-sucedida pode resultar na execução de código, escalonamento de privilégios, divulgação de informações e manipulação de dados, representando riscos significativos para as organizações que utilizam a estrutura.
As vulnerabilidades foram descobertas e relatadas por pesquisadores de segurança do TencentAISec e do laboratório NISL da Universidade Tsinghua, destacando a importância da pesquisa colaborativa de segurança.
Todas as versões do NVIDIA NeMo Framework anteriores à 2.5.0 são vulneráveis, independentemente do sistema operacional ou plataforma. As organizações que usam versões anteriores de software também correm riscos e devem atualizar imediatamente.
A NVIDIA recomenda que os usuários clonem ou atualizem para o NeMo Framework versão 2.5.0 ou posterior, disponível no repositório oficial da NVIDIA GitHub e no gerenciador de pacotes PyPI.
A empresa enfatiza que os usuários de versões anteriores da filial devem atualizar para a versão mais recente da filial.
As organizações devem avaliar as suas configurações específicas e aplicar a atualização de segurança prontamente para mitigar potenciais riscos de exploração.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Contate-nos para apresentar suas histórias.
