NVIDIA, NEMO küratör platformunda saldırganların kötü niyetli kodlar yürütmesine ve etkilenen sistemlerde ayrıcalıkları artırmasına izin verebilecek yüksek şiddetli bir kırılganlığı ele alan kritik bir güvenlik bültenini yayınladı.
CVE-2025-23307 olarak adlandırılan güvenlik açığı, Windows, Linux ve macOS platformlarında 25.07 sürümünden önce NVIDIA NEMO küratörünün tüm sürümlerini etkiler.
Güvenlik kusuru, NEMO küratörünün dosya işleme mekanizmalarındaki yanlış giriş doğrulamasından kaynaklanarak, tehdit aktörlerinin kod enjeksiyon saldırılarını tetikleyen kötü amaçlı dosyalar oluşturmalarını sağlıyor.
Key Takeaways
1. CVE-2025-23307 in NeMo Curator enables local code execution and privilege escalation.
2. Improper input validation impacts confidentiality, integrity, and availability.
3. Upgrade and tighten access controls.
CVSS V3.1 baz skoru 7.8 ile bu güvenlik açığı yüksek şiddet olarak sınıflandırılır ve kurumsal AI altyapı dağıtımları için önemli riskler oluşturmaktadır.
Kod Enjeksiyon Güvenlik Açığı
Güvenlik açığı, CWE-94 (kod enjeksiyonu) altında kategorize edilir, bu da NEMO küratörünün belirli dosya türlerini işlerken kullanıcı tarafından sağlanan girişi düzgün bir şekilde sterilize edemediğini gösterir.
Saldırı vektörü, düşük saldırı karmaşıklığı (AC: L) ve düşük ayrıcalıklara (PR: L) sahip yerel erişim (AV: L) gerektirir, bu da ilk sistem erişimi kazanan saldırganlar için nispeten erişilebilir olmasını sağlar.
CVSS vektör dizesi av: l/ac: l/pr: l/ui: n/s: u/c: h/i: h/a: h, başarılı sömürünün hiçbir kullanıcı etkileşimi (UI: n) gerektirmediğini ve gizlilik, bütünlük ve kullanılabilirliğe yüksek etkiye neden olabileceğini ortaya koymaktadır.
Saldırganlar, kod yürütme, ayrıcalık artışı, bilgi açıklaması ve veri kurcalama yetenekleri yoluyla potansiyel olarak tam sistem uzlaşmasını sağlayabilir.
Şirket, yerel erişim gereksinimlerinin, güvenlik açığının uygun şekilde segmentli ortamlarda derhal sömürülebilirliğini sınırlayabileceğini vurgulamaktadır.
Güvenlik açığı, güvenlik araştırmacısı DK tarafından NVIDIA’ya sorumlu bir şekilde açıklandı ve AI platform güvenlik açıklarını belirleme ve ele almada işbirlikçi güvenlik araştırmalarının önemini vurguladı.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Nvidia Nemo Küratörü (tüm versiyonlar <25.07) |
| Darbe | Kod yürütme; ayrıcalık artışı |
| Önkoşuldan istismar | Yerel erişim; düşük saldırı karmaşıklığı; düşük ayrıcalıklar |
| CVSS 3.1 puanı | 7.8 (Yüksek) |
Hafifletme
NVIDIA, resmi NVIDIA Github deposu aracılığıyla güncellemelerle bu güvenlik açığını gidermek için küratör sürüm 25.07 sürümünü yayınladı.
Daha önceki şube sürümlerini kullanan kuruluşların, tüm tarihsel sürümler bu güvenlik açığından etkilenmeye devam ettiği için, dağıtım şubeleri içindeki en son sürüme yükseltilmeleri tavsiye edilir.
Güvenlik güncellemesi, kötü amaçlı kod enjeksiyon saldırılarını önlemek için gelişmiş giriş doğrulama mekanizmaları ve dosya işleme önlemleri uygular.
Sistem yöneticileri, özellikle NEMO küratörünün güvenilmeyen veya harici veri kaynaklarını işlediği ortamlarda bu güncellemeye öncelik vermelidir.
NVIDIA, mevcut AI iş akışları ve model eğitim boru hatlarıyla uyumluluğu sağlamak için üretim dağıtımından önce evreleme ortamlarında güncellenmiş versiyonun tam olarak test edilmesini önerir.
Kuruluşlar ayrıca, güvenlik açığının yerel erişim gereksinimleri göz önüne alındığında, potansiyel saldırı yüzeylerini en aza indirmek için erişim kontrol politikalarını da gözden geçirmelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.