Plataforma
nvidia
Componente
nvidia-isaac-gr00t
Corregido en
9.0.1
Se ha identificado una vulnerabilidad de inyección de código en el componente Python de NVIDIA Isaac-GR00T, un software para plataformas diversas. Esta falla permite a un atacante inyectar código malicioso, lo que podría resultar en la ejecución de código arbitrario, la escalada de privilegios, la divulgación de información sensible y la manipulación de datos. La vulnerabilidad afecta a todas las versiones de Isaac-GR00T que no incluyan la commit 9ca97e1; la solución es aplicar esta commit.
La inyección de código en NVIDIA Isaac-GR00T representa un riesgo significativo. Un atacante podría aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en el sistema donde se ejecuta Isaac-GR00T, obteniendo control sobre el entorno. Esto podría implicar el acceso a datos confidenciales, la modificación de archivos críticos, o incluso el uso del sistema como punto de partida para ataques a otros sistemas en la red. La capacidad de escalar privilegios podría permitir al atacante obtener acceso a funcionalidades restringidas o a datos protegidos. La manipulación de datos podría comprometer la integridad de los procesos que dependen de Isaac-GR00T.
Esta vulnerabilidad fue publicada el 13 de agosto de 2025. No se ha reportado explotación activa en entornos reales, pero la naturaleza de la inyección de código la convierte en un objetivo atractivo para atacantes. La ausencia de un PoC público no disminuye el riesgo, ya que la complejidad de la plataforma podría requerir un conocimiento especializado para su explotación. Se recomienda monitorear activamente las fuentes de inteligencia de amenazas para detectar cualquier indicio de actividad maliciosa.
Robotics developers and engineers utilizing NVIDIA Isaac-GR00T are at risk. Organizations deploying Isaac-GR00T in production environments, particularly those involving autonomous systems or critical infrastructure, face a heightened risk. Those using older, unpatched versions of Isaac-GR00T are most vulnerable.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*isaac-gr00t*'}• linux / server:
ps aux | grep isaac-gr00t• python:
import os
import sys
print(sys.version)• generic web: Check for unusual file uploads or modifications to Python scripts within the Isaac-GR00T environment.
disclosure
Estado del Exploit
EPSS
0.04% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-23296 es aplicar la commit 9ca97e1. Verifique que su entorno de desarrollo y producción estén actualizados con esta versión. Si la actualización a la última versión no es inmediatamente posible, considere aislar los sistemas que ejecutan versiones vulnerables de la red para limitar el potencial de explotación. Monitoree los logs del sistema en busca de actividades sospechosas relacionadas con la ejecución de código no autorizado. Si es posible, implemente controles de acceso estrictos para limitar el acceso a los componentes de Isaac-GR00T.
Actualice NVIDIA Isaac-GR00T a la versión que incluye el commit 9ca97e1 o posterior. Esto solucionará la vulnerabilidad de inyección de código. Consulte el advisory de NVIDIA para obtener más detalles e instrucciones específicas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-23296 is a code injection vulnerability affecting NVIDIA Isaac-GR00T versions before 9ca97e1. It allows attackers to inject and execute malicious code, potentially leading to system compromise.
You are affected if you are using NVIDIA Isaac-GR00T versions prior to 9ca97e1. Check your version and upgrade immediately if vulnerable.
Upgrade to version 9ca97e1 or later. Implement input validation as a temporary workaround if upgrading is not immediately possible.
There is currently no evidence of active exploitation of CVE-2025-23296.
Refer to the NVIDIA security bulletin for CVE-2025-23296 on the NVIDIA website (https://www.nvidia.com/en-us/security/).
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.