Plataforma
python
Componente
nvidia/megatron-lm
Corregido en
0.13.2
Se ha identificado una vulnerabilidad de inyección en el script de preprocesamiento msdp de NVIDIA Megatron-LM. Un atacante puede inyectar datos maliciosos que, al ser procesados, podrían resultar en la ejecución de código no autorizado. Esta vulnerabilidad afecta a todas las plataformas y a las versiones de Megatron-LM anteriores a la 0.13.1 y 0.12.3. NVIDIA ha lanzado la versión 0.13.1 para solucionar este problema.
La explotación exitosa de esta vulnerabilidad de inyección podría permitir a un atacante ejecutar código arbitrario en el sistema donde se ejecuta Megatron-LM. Esto podría resultar en la escalada de privilegios, permitiendo al atacante obtener acceso no autorizado a recursos sensibles. Además, la vulnerabilidad podría ser utilizada para la divulgación de información confidencial, como datos de entrenamiento del modelo o configuraciones del sistema. La manipulación de datos también es posible, lo que podría comprometer la integridad de los resultados generados por Megatron-LM. Aunque no se han reportado casos de explotación pública, la naturaleza de la vulnerabilidad la convierte en un objetivo atractivo para actores maliciosos, especialmente considerando la creciente adopción de modelos de lenguaje grandes como Megatron-LM.
Esta vulnerabilidad ha sido publicada el 2025-09-24. Actualmente no se encuentra en el KEV de CISA, pero su severidad (CVSS 7.8 - ALTO) indica una probabilidad de explotación moderada. No se han identificado públicamente pruebas de concepto (PoC) disponibles, pero la naturaleza de la vulnerabilidad de inyección la hace susceptible a ser explotada una vez que se disponga de la información necesaria. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Organizations and researchers utilizing NVIDIA Megatron-LM for large language model training, particularly those relying on the msdp preprocessing script for data preparation, are at risk. This includes those deploying Megatron-LM in cloud environments or on systems with limited security controls.
• python / supply-chain:
import os
import subprocess
# Check for vulnerable Megatron-LM versions
process = subprocess.Popen(['python', '-c', 'import megatron_lm; print(megatron_lm.__version__)'], stdout=subprocess.PIPE, stderr=subprocess.PIPE)
stdout, stderr = process.communicate()
version = stdout.decode('utf-8').strip()
if version and (float(version) < 0.13.1 or float(version) < 0.12.3):
print(f"Vulnerable Megatron-LM version detected: {version}")• generic web: Check for unusual activity or unexpected data patterns in the msdp preprocessing script logs.
disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 0.13.1 de NVIDIA Megatron-LM. Si la actualización no es inmediatamente posible, se recomienda revisar cuidadosamente los datos de entrada al script de preprocesamiento msdp para detectar patrones sospechosos. Implementar una validación estricta de las entradas puede ayudar a prevenir la inyección de código malicioso. Además, se sugiere limitar los permisos de la cuenta de usuario que ejecuta Megatron-LM para reducir el impacto potencial de una explotación exitosa. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando la integridad de los archivos del sistema y realizando pruebas de inyección controladas.
Actualice Megatron-LM a la versión 0.13.1 o posterior. Esto corregirá la vulnerabilidad de inyección en el script de preprocesamiento msdp. Asegúrese de verificar la integridad de la nueva versión después de la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-23353 is a HIGH severity injection vulnerability affecting NVIDIA Megatron-LM versions before 0.13.1 and 0.12.3, allowing malicious data to trigger code execution and data compromise.
You are affected if you are using NVIDIA Megatron-LM versions prior to 0.13.1 or 0.12.3. Check your installed version and upgrade if necessary.
Upgrade to NVIDIA Megatron-LM version 0.13.1 or later to resolve the vulnerability. Implement input validation as a temporary workaround if immediate upgrade is not possible.
Currently, there are no known active exploits or public proof-of-concept code for CVE-2025-23353, but the potential for exploitation is high.
Refer to the NVIDIA security bulletin for detailed information and updates regarding CVE-2025-23353: [https://nvidia.github.io/security-bulletins/](https://nvidia.github.io/security-bulletins/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.