.png)
há 1 semana
9
ANUNCIE AQUI
NVIDIA corrige vulnerabilidades críticas no NeMo Framework que permitem execução de código e escalonamento de privilégios
Contexto da vulnerabilidade
A NVIDIA lançou uma atualização crítica para o NeMo Framework, corrigindo duas falhas graves (CVE-2025-23361 e CVE-2025-33178) com pontuação CVSS de 7.8.
As vulnerabilidades afetam todas as versões do NeMo Framework anteriores à 2.5.0, em todas as plataformas.
Detalhes técnicos
- A CVE-2025-23361 reside em um script do framework, onde a entrada maliciosa pode permitir controle inadequado sobre a geração de código (CWE-94).
- A CVE-2025-33178 está no componente Bert services e possibilita a injeção de código via dados maliciosos.
- Ambas requerem acesso local com privilégios baixos, mas, se exploradas com sucesso, permitem execução de código, escalonamento de privilégios, acesso a informações e manipulação de dados.
Impacto e riscos
A exploração dessas falhas representa risco significativo para organizações que utilizam o NeMo Framework, podendo permitir controle total do sistema, exposição ou alteração de dados sensíveis.
Todas as versões anteriores à 2.5.0 — incluindo ramificações antigas — permanecem vulneráveis.
Mitigação
- A NVIDIA recomenda atualização imediata para o NeMo Framework 2.5.0 ou superior, disponível no repositório oficial do GitHub e no PyPI.
- Usuários de ramificações antigas devem migrar para a versão mais recente do branch.
- É essencial revisar as configurações e aplicar o patch para mitigar os riscos de exploração.
Como funciona o ataque
Um invasor com acesso local pode fornecer entradas projetadas para ativar os bugs nos scripts do NeMo Framework ou no serviço Bert, resultando em execução de comandos ou códigos maliciosos com privilégios elevados.
Esses ataques exploram falhas de validação de entrada em componentes críticos, sendo necessários apenas privilégios básicos para iniciar a exploração.
Portuguese (BR) ·