Компания NVIDIA выпустила экстренный бюллетень безопасности, посвящённый высокой уязвимости (CVE-2025-23307) в программном обеспечении NVIDIA® NeMo Curator. Уязвимость затрагивает все предыдущие версии Curator и позволяет злоумышленникам выполнять произвольный код, повышать привилегии и получать доступ к конфиденциальной информации.
Детали уязвимости
Проблема, получившая оценку базового уровня опасности 7.8 по шкале CVSS v3.1, связана с неправильной обработкой пользовательских файлов. Если зловредный файл попадает в систему обработки NeMo Curator, это приводит к инъекции кода и его выполнению в уязвимой среде. Сложность атаки оценивается как низкая, а для её осуществления не требуется взаимодействие с пользователем после того, как вредоносный файл оказывается в системе.
Успешная эксплуатация уязвимости может привести к серьёзным последствиям, включая несанкционированное повышение привилегий, раскрытие чувствительных данных и их модификацию. Уязвимость классифицируется согласно CWE-94 (Неправильный контроль генерации кода) и представляет высокий риск для конфиденциальности, целостности и доступности систем.
Под угрозой находятся все версии NVIDIA NeMo Curator ранее 25.07, работающие под управлением Windows, Linux или macOS. NVIDIA настоятельно рекомендует всем пользователям немедленно обновиться до версии Curator 25.07, которая содержит исправление безопасности. Обновление доступно через официальный репозиторий NVIDIA на GitHub или на странице продукта безопасности компании.
Эксперты отмечают, что оценка риска является усреднённой и может варьироваться в зависимости от конкретной конфигурации системы. Организациям следует провести внутренний аудит развёртываний NeMo Curator и оценить потенциальное воздействие на свою инфраструктуру.
NVIDIA NeMo Curator - это инструмент, используемый для управления данными в задачах искусственного интеллекта, и его компрометация может затронуть конфиденциальные наборы данных и результаты машинного обучения. Своевременное обновление до актуальной версии является ключевым шагом для предотвращения возможных атак.
Для установки исправления пользователям необходимо посетить страницу загрузки NVIDIA или использовать встроенные механизмы обновления, если они доступны в конкретной среде развёртывания.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2025-23307
- https://www.cve.org/CVERecord?id=CVE-2025-23307
- https://nvidia.custhelp.com/app/answers/detail/a_id/5690
