Plataforma
python
Componente
nvidia/megatron-lm
Corregido en
0.14.1
La vulnerabilidad CVE-2025-23357 afecta a NVIDIA Megatron-LM, un framework de lenguaje de código abierto. Esta falla de inyección de código permite a un atacante inyectar datos maliciosos que pueden ser interpretados como código ejecutable. La vulnerabilidad se encuentra presente en todas las versiones anteriores a 0.14.0 y puede resultar en la ejecución de código arbitrario. NVIDIA ha lanzado la versión 0.14.0 para solucionar este problema.
Un atacante que explote con éxito esta vulnerabilidad podría ejecutar código arbitrario en el sistema donde se ejecuta Megatron-LM. Esto podría permitir el robo de información confidencial, la modificación de datos, o incluso el control completo del sistema. La severidad de este impacto se agrava por la naturaleza de Megatron-LM, que a menudo se utiliza en entornos de investigación y desarrollo donde la seguridad puede no ser una prioridad principal. La inyección de código podría ser utilizada para instalar malware, comprometer la integridad de los modelos de lenguaje entrenados, o para realizar ataques de denegación de servicio. Aunque no se han reportado explotaciones públicas, la facilidad de inyección de código sugiere un riesgo significativo.
La vulnerabilidad CVE-2025-23357 fue publicada el 11 de noviembre de 2025. Actualmente no se encuentra listada en el KEV de CISA. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (inyección de código) la hace susceptible a explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations and researchers utilizing NVIDIA Megatron-LM for large language model training are at risk. This includes those deploying Megatron-LM in cloud environments, on-premise servers, or within development pipelines. Specifically, those using older, unpatched versions of the framework are most vulnerable.
• python / supply-chain:
import os
import subprocess
def check_megatron_version():
try:
result = subprocess.check_output(['python', '-c', 'import megatron_lm; print(megatron_lm.__version__)'], stderr=subprocess.STDOUT)
version = result.decode('utf-8').strip()
if version and version.startswith('0.13'):
print(f"Vulnerability detected: Megatron-LM version {version} is vulnerable.")
else:
print(f"Megatron-LM version {version} is not vulnerable.")
except FileNotFoundError:
print("Megatron-LM not found.")
except subprocess.CalledProcessError as e:
print(f"Error checking version: {e}")
check_megatron_version()disclosure
Estado del Exploit
EPSS
0.04% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-23357 es actualizar a la versión 0.14.0 de NVIDIA Megatron-LM. Si la actualización no es inmediatamente posible, se recomienda revisar cuidadosamente todas las entradas de datos que se proporcionan a Megatron-LM para detectar patrones sospechosos. Implementar una validación estricta de las entradas puede ayudar a prevenir la inyección de código. Aunque no hay reglas WAF específicas disponibles, se pueden crear reglas personalizadas para bloquear patrones de inyección de código comunes. Es crucial monitorear los logs del sistema en busca de actividades inusuales que puedan indicar un intento de explotación.
Actualice Megatron-LM a la versión 0.14.0 o posterior. Esto solucionará la vulnerabilidad de inyección de código. Asegúrese de obtener la actualización de una fuente oficial de NVIDIA.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-23357 is a code injection vulnerability affecting NVIDIA Megatron-LM versions before 0.14.0, allowing attackers to execute arbitrary code.
You are affected if you are using NVIDIA Megatron-LM versions prior to 0.14.0. Upgrade immediately to mitigate the risk.
Upgrade to NVIDIA Megatron-LM version 0.14.0 or later. Implement input validation as a temporary workaround if upgrading is not immediately possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the NVIDIA security bulletin for detailed information and updates: [https://nvidia.github.io/megatron-lm/security/advisories/](https://nvidia.github.io/megatron-lm/security/advisories/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.