NVIDIA, saldırganların etkilenen sistemlere kötü amaçlı kod enjekte etmesine ve yürütmesine izin verebilecek iki kritik güvenlik açığının keşfedilmesinin ardından açık kaynaklı megatron-LM çerçevesi için acil bir güvenlik güncellemesi yayınladı.
CVE-2025-23264 ve CVE-2025-23265 olarak izlenen kusurlar, 0.12.0’dan önce megatron-LM sürümlerini çalıştıran tüm platformları etkiler ve NVIDIA’nın güvenlik ekibinden hızlı bir yanıt vermiştir.
| CVE kimliği | Tanım | CVSS v3.1 puanı | Şiddet |
| CVE-2025-23264 | Kötü amaçlı dosya aracılığıyla Python Bileşen Kodu Enjeksiyonu, kod yürütme, ayrıcalık artışı, bilgi açıklaması, veri kurcalama | 7.8 | Yüksek |
| CVE-2025-23265 | Kötü amaçlı dosya aracılığıyla Python Bileşen Kodu Enjeksiyonu, kod yürütme, ayrıcalık artışı, bilgi açıklaması, veri kurcalama | 7.8 | Yüksek |
Megatron-lm’de çifte enjeksiyon riski
Megatron-LM, büyük transformatör tabanlı sinir ağlarını eğitmek için yaygın olarak kullanılır, bu da onu kurumsal AI, yüksek performanslı bilgi işlem ve araştırma ortamlarında temel bir araç haline getirir.
.png
)
Yeni açıklanan güvenlik açıkları, çerçevenin bir python bileşeni içindeki güvensiz giriş işleminden kaynaklanmaktadır.
Saldırganlar, özel olarak hazırlanmış kötü amaçlı bir dosya sağlayarak bu kusurları kullanabilir ve uzaktan kod yürütülmesine, ayrıcalıkların artırılmasına, bilgi açıklamasına ve veri kurcalamasına yol açabilecek bir kod enjeksiyon yolunu tetikleyebilir.
NVIDIA’nın güvenlik bülteni, başarılı bir istismarın kullanıcı etkileşimi gerektirmediği ve düşük saldırı karmaşıklığı ile gerçekleştirilebileceği ve otomatik model yükleme ve dinamik boru hattı konfigürasyonları için risk profilini artırabileceği konusunda uyarıyor – modern AI iş akışlarında ortak.
Her iki güvenlik açıklarına da 7.8 CVSS V3.1 baz skoru atandı ve bunları “yüksek” ciddiyet olarak sınıflandırdı.
Temel sorun CWE-94: kod üretiminin uygunsuz kontrolü (‘kod enjeksiyonu’) altında sınıflandırılmıştır.
Saldırılmamışsa, bu kusurlar AI modellerinin bütünlüğünü ve gizliliğini ve işledikleri hassas verileri tehlikeye atabilir.
Güvenlik güncellemesi ve azaltma
NVIDIA, hem CVE-2025-23264 hem de CVE-2025-23265’e hitap eden Megatron-LM 0.12.1 sürümünü yayınladı.
Kullanıcılara ve kuruluşlara riski azaltmak için kurulumlarını derhal güncellemeleri şiddetle tavsiye edilir. Güvenlik açıkları, alternatif yazılım şubelerinde olanlar da dahil olmak üzere önceki tüm sürümleri etkiler.
Güvenlik konuları, NVIDIA tarafından katkılarından dolayı kabul edilen araştırmacılar Yu Rong ve Hao Fan tarafından sorumlu bir şekilde açıklandı.
AI benimseme hızlandıkça, Megatron-LM gibi temel çerçevelerin güvenliği giderek daha kritik hale geliyor.
Megatron-LM’den yararlanan kuruluşlar, AI altyapılarının bütünlüğünü korumak ve hassas varlıkları korumak için yamaya öncelik vermelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin