Plataforma
python
Componente
megatron-lm
Corregido en
0.12.3
Se ha identificado una vulnerabilidad de inyección de código en el componente 'tools' de NVIDIA Megatron-LM, afectando a todas las versiones anteriores a la 0.12.2. Esta falla permite a un atacante, bajo ciertas condiciones, ejecutar código malicioso en el sistema. La actualización a la versión 0.12.2 mitiga este riesgo, corrigiendo la vulnerabilidad subyacente.
La inyección de código en Megatron-LM presenta un riesgo significativo. Un atacante exitoso podría ejecutar comandos arbitrarios en el sistema, lo que podría resultar en la escalada de privilegios, permitiéndole obtener control total sobre el entorno. Además, la vulnerabilidad facilita la divulgación de información confidencial y la manipulación de datos, comprometiendo la integridad y confidencialidad de los sistemas que utilizan Megatron-LM. Este tipo de vulnerabilidad, si se explota con éxito, podría tener un impacto devastador en la infraestructura y los datos de la organización.
La vulnerabilidad CVE-2025-23305 fue publicada el 13 de agosto de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza de la inyección de código sugiere un riesgo potencial. La probabilidad de explotación se considera media, dado que la inyección de código es una técnica bien conocida y relativamente fácil de implementar. No se ha añadido a KEV hasta la fecha.
Organizations utilizing NVIDIA Megatron-LM for machine learning research and development are at risk. This includes those deploying Megatron-LM in cloud environments, on-premise servers, or within containerized deployments. Specifically, those using older, unpatched versions of Megatron-LM are particularly vulnerable.
• python / supply-chain:
import os
import subprocess
def check_megatron_version():
try:
result = subprocess.check_output(['python', '-c', 'import megatron_lm; print(megatron_lm.__version__)'], stderr=subprocess.STDOUT)
version = result.decode('utf-8').strip()
if version and version.startswith('0.12'):
print('Megatron-LM version is patched.')
else:
print(f'Vulnerable version detected: {version}')
except FileNotFoundError:
print('Megatron-LM not found.')
except subprocess.CalledProcessError as e:
print(f'Error checking version: {e}')
check_megatron_version()• generic web: Check for unusual file uploads or execution attempts targeting the tools component. Monitor access logs for suspicious patterns.
disclosure
Estado del Exploit
EPSS
0.03% (7% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-23305 es actualizar Megatron-LM a la versión 0.12.2 o superior. Si la actualización no es inmediatamente posible, se recomienda revisar cuidadosamente la entrada y salida del componente 'tools' para detectar patrones sospechosos. Implementar controles de acceso estrictos y limitar los privilegios de las cuentas que interactúan con Megatron-LM puede reducir el impacto de una posible explotación. No existen parches de reversión disponibles, por lo que la actualización es la solución más efectiva.
Actualice NVIDIA Megatron-LM a la versión 0.12.2 o posterior. Esto corregirá la vulnerabilidad de inyección de código en el componente de herramientas. La actualización mitigará el riesgo de ejecución de código, escalada de privilegios, divulgación de información y manipulación de datos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-23305 is a code injection vulnerability affecting NVIDIA Megatron-LM versions before 0.12.2. It allows attackers to execute arbitrary code, potentially leading to data compromise and system control.
You are affected if you are using NVIDIA Megatron-LM versions prior to 0.12.2. Check your installed version and upgrade immediately if vulnerable.
Upgrade to NVIDIA Megatron-LM version 0.12.2 or later to resolve the vulnerability. If immediate upgrade isn't possible, implement stricter input validation and restrict access permissions.
No active exploitation has been confirmed at this time, but the vulnerability is considered HIGH severity and should be addressed promptly.
Refer to the NVIDIA security bulletin for detailed information and updates regarding CVE-2025-23305: [https://nvidia.github.io/security-bulletins/](https://nvidia.github.io/security-bulletins/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.