NVIDIA, NeMo Çerçevesinde saldırganların keyfi kod yürütmesine ve etkilenen sistemlerde ayrıcalıkları yükseltmesine olanak verebilecek iki yüksek önem dereceli güvenlik açığını gideren kritik güvenlik yamaları yayınladı.
Güvenlik açıkları çerçevenin 2.5.0’dan önceki tüm sürümlerini etkilemektedir ve kullanıcıların derhal 2.5.0 sürümüne güncellemeleri gerekmektedir.
| CVE Kimliği | Tanım | CVSS Puanı | Şiddet |
|---|---|---|---|
| CVE-2025-23361 | Komut dosyası bileşeninde kod oluşturmanın hatalı kontrolü | 7.8 | Yüksek |
| CVE-2025-33178 | BERT hizmetleri bileşenine kod ekleme | 7.8 | Yüksek |
CVE-2025-23361 olarak izlenen ilk güvenlik açığı, NeMo Framework’ün bir komut dosyası bileşeninde mevcut olup, kod oluşturmanın uygunsuz şekilde kontrol edilmesi, saldırganların kötü amaçlı girdi eklemesine olanak tanır.
Başarılı bir şekilde yararlanılırsa bu kusur, kodun tam olarak yürütülmesine, ayrıcalıkların yükseltilmesine, bilgilerin yetkisiz olarak ifşa edilmesine ve verilere müdahale edilmesine olanak tanır.
İkinci güvenlik açığı olan CVE-2025-33178, BERT hizmetleri bileşenini etkiliyor ve kötü amaçlı veriler aracılığıyla kod ekleme güvenlik açığı ortaya çıkarıyor.
Benzeri gibi, başarılı bir şekilde yararlanma da kod yürütmeye, ayrıcalık yükseltmeye, bilgilerin ifşa edilmesine ve veri manipülasyonuna yol açar.
Her iki güvenlik açığı da CVSS v3.1 temel puanı 7,8’dir ve Yüksek önem derecesi olarak sınıflandırılır. Bu hatalardan yararlanmak için yerel erişim ve düşük ayrıcalıklar gerekir; bu, sistemdeki kimliği doğrulanmış bir saldırganın, kullanıcı etkileşimi olmadan bu kusurları tetikleyebileceği anlamına gelir.
Güvenlik açıkları, CWE-94: Kod Üretiminin Uygunsuz Kontrolü kapsamında kategorize edilen uygunsuz giriş doğrulama ve kod oluşturma kontrollerinden kaynaklanmaktadır.
Bu güvenlik açıklarına yönelik tehdit ortamı özellikle endişe vericidir çünkü sistem bütünlüğünün tamamen tehlikeye atılmasına olanak tanırlar.
Bu kusurlardan yararlanan bir saldırgan, hassas verilere yetkisiz erişim sağlayabilir, kritik bilgileri değiştirebilir veya güvenliği ihlal edilmiş sistemi, bir kuruluşun ağı içinde yanal hareket için bir dayanak noktası olarak kullanabilir.
NVIDIA, tüm NeMo Çerçevesi kullanıcılarının derhal 2.5.0 veya sonraki bir sürüme güncelleme yapmasını önerir.
Güncellenmiş sürüm NVIDIA’nın GitHub deposunda ve PyPI paket deposunda mevcuttur. Daha önceki şube sürümlerini kullanan kuruluşlar, bu tehditlere karşı tam koruma sağlamak için mevcut en son şube sürümüne yükseltme yapmalıdır.
Güvenlik açıkları, TencentAISec’teki güvenlik araştırmacıları ve Tsinghua Üniversitesi’ndeki NISL laboratuvarından Guanheng Liu ve Pinji Chen tarafından keşfedildi ve rapor edildi; bu, yapay zeka ve makine öğrenimi güvenlik topluluğunda güvenlik açığının sorumlu bir şekilde ifşa edilmesinin önemini ortaya koydu.
NVIDIA’nın makine öğrenimi çerçevelerine yoğun yatırım yapan kuruluşlar için bu güncelleme isteğe bağlı değildir.
Yüksek CVSS puanları ve sistemin tamamının tehlikeye girme potansiyelinin birleşimi, anında yama uygulanmasını zorunlu kılmaktadır.
Güvenlik ekipleri, kendi ortamlarında sürüm 2.5.0’ı test etmeye ve dağıtmaya öncelik vermeli ve NeMo Çerçevesinin tüm örneklerinin yamalı sürümü çalıştırdığını doğrulamalıdır.
Kendi özel sistem risklerinden endişe duyan kullanıcılar, dağıtım yapılandırmalarını kurulu sistemlerin çeşitliliğini hesaba katan NVIDIA’nın risk değerlendirme çerçevesine göre değerlendirmelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak olarak ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.