Plataforma
nvidia
Componente
transformers4rec
Corregido en
7.0.1
Se ha identificado una vulnerabilidad de inyección de código en NVIDIA Merlin Transformers4Rec, una biblioteca de software para el entrenamiento de modelos de recomendación. Esta vulnerabilidad, que podría resultar en la ejecución de código malicioso, la escalada de privilegios, la divulgación de información sensible y la manipulación de datos, afecta a todas las versiones de Transformers4Rec que no incluyan la commit b7eaea5. La vulnerabilidad se origina en una dependencia de Python y su explotación exitosa podría tener consecuencias significativas para los sistemas afectados. Se recomienda aplicar la commit b7eaea5 para solucionar este problema.
La inyección de código en NVIDIA Merlin Transformers4Rec permite a un atacante ejecutar código arbitrario en el sistema donde se está ejecutando la biblioteca. Esto podría llevar a la toma de control completa del sistema, permitiendo al atacante instalar malware, robar datos confidenciales, modificar la configuración del sistema o incluso utilizar el sistema como punto de partida para atacar otros sistemas en la red. La divulgación de información podría incluir datos de entrenamiento de modelos, claves de API o cualquier otra información sensible almacenada en el sistema. La manipulación de datos podría comprometer la integridad de los modelos de recomendación, lo que podría llevar a resultados incorrectos o sesgados.
La vulnerabilidad CVE-2025-23298 se ha publicado el 13 de agosto de 2025. No se ha añadido a la lista KEV de CISA, ni se ha reportado una puntuación EPSS. Actualmente no se conocen públicamente pruebas de concepto (PoC) para esta vulnerabilidad, pero la naturaleza de la inyección de código sugiere que es probable que se desarrollen en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para obtener información sobre posibles campañas de explotación.
Organizations deploying NVIDIA Merlin Transformers4Rec for recommendation systems, particularly those handling sensitive user data or operating in environments with limited security controls, are at risk. Environments utilizing older, unpatched versions of Transformers4Rec are especially vulnerable.
• python / server:
import subprocess
result = subprocess.run(['pip', 'show', 'transformers4rec'], capture_output=True, text=True)
if 'Version' in result.stdout:
version = result.stdout.split('Version: ')[1].split('\n')[0]
if version.split('.')[0] == 'x.x' and int(version.split('.')[1]) < 1:
print('Potential vulnerability: Transformers4Rec version is vulnerable.')
else:
print('Transformers4Rec not found.')disclosure
Estado del Exploit
EPSS
0.03% (7% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar NVIDIA Merlin Transformers4Rec a la versión que incluye la commit b7eaea5. Si la actualización no es inmediatamente posible, se recomienda revisar las dependencias de Python utilizadas por Transformers4Rec y asegurarse de que estén actualizadas a las últimas versiones. Aunque no es una solución completa, la implementación de un sistema de control de acceso estricto puede limitar el daño potencial en caso de una explotación exitosa. Monitorear los logs del sistema en busca de actividad sospechosa, como la ejecución de comandos inesperados o la modificación de archivos críticos, también puede ayudar a detectar y responder a un ataque en curso. Después de aplicar la actualización, confirme la mitigación verificando que la commit b7eaea5 esté presente en el código fuente de Transformers4Rec.
Actualice NVIDIA Merlin Transformers4Rec a una versión que incluya el commit b7eaea5 o posterior. Esto solucionará la vulnerabilidad de inyección de código. Consulte las notas de la versión y las instrucciones de actualización proporcionadas por NVIDIA.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-23298 is a code injection vulnerability affecting NVIDIA Merlin Transformers4Rec versions before commit b7eaea5. It allows attackers to potentially execute code and compromise the system.
You are affected if you are using NVIDIA Merlin Transformers4Rec versions prior to the one including commit b7eaea5. Check your version and upgrade if necessary.
Upgrade to a version of NVIDIA Merlin Transformers4Rec that includes code commit b7eaea5. This resolves the code injection vulnerability.
Currently, there are no publicly known active exploits, but the vulnerability is considered high severity and exploitation is possible.
Refer to the NVIDIA security bulletin for details and updates regarding CVE-2025-23298: [https://www.nvidia.com/en-us/security/cve/CVE-2025-23298](https://www.nvidia.com/en-us/security/cve/CVE-2025-23298)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.