Plataforma
nvidia
Componente
nvidia/nemo
Corregido en
24.12.1
La vulnerabilidad CVE-2025-23360 es un fallo de recorrido de ruta (Path Traversal) descubierto en el framework NVIDIA NeMo. Esta vulnerabilidad permite a un atacante, a través de la escritura de archivos arbitrarios, potencialmente ejecutar código malicioso y manipular datos sensibles. Afecta a todas las versiones del framework NeMo anteriores a la 24.12, y se recomienda actualizar a la versión corregida para eliminar el riesgo.
Un atacante que explote con éxito esta vulnerabilidad podría obtener control sobre el sistema donde se ejecuta NVIDIA NeMo. La capacidad de escribir archivos arbitrariamente permite la ejecución de código malicioso, la modificación de archivos de configuración críticos, la inserción de puertas traseras (backdoors) y el robo de información confidencial. El impacto potencial es significativo, especialmente en entornos de producción donde NeMo se utiliza para tareas de procesamiento de lenguaje natural (NLP) y aprendizaje automático (ML), ya que podría comprometer la integridad de los modelos y los datos de entrenamiento. La manipulación de datos podría llevar a la generación de resultados incorrectos o sesgados, afectando la toma de decisiones basada en la información procesada por NeMo.
La vulnerabilidad CVE-2025-23360 fue publicada el 11 de marzo de 2025. Actualmente, no se dispone de información sobre explotación activa en la naturaleza. No se ha listado en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de la redacción. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations utilizing the NVIDIA NeMo Framework for natural language processing tasks, particularly those involved in model training or deployment, are at risk. This includes research institutions, AI development companies, and any entity relying on NeMo for its NLP pipelines. Environments with less stringent security controls or those running older, unpatched versions of the framework are particularly vulnerable.
• python / framework: Inspect NeMo Framework code for file handling routines that construct paths from user-supplied input. Look for missing or inadequate validation.
import os
# Vulnerable code example
filepath = os.path.join(base_dir, user_input)
# Safe code example
filepath = os.path.join(base_dir, os.path.normpath(user_input))• generic web: Monitor web server access logs for unusual file access patterns, particularly attempts to access files outside of the expected directory structure. • generic web: Check for unexpected files appearing in sensitive directories within the NeMo Framework installation.
disclosure
Estado del Exploit
EPSS
0.16% (37% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-23360 es actualizar a la versión 24.12 o superior de NVIDIA NeMo Framework. Si la actualización inmediata no es posible debido a problemas de compatibilidad o interrupciones del servicio, se recomienda implementar controles de acceso estrictos a los directorios donde NeMo escribe archivos. Revise y limite los permisos de escritura para los usuarios y procesos que interactúan con NeMo. Implementar una capa de seguridad adicional, como un Web Application Firewall (WAF), puede ayudar a detectar y bloquear intentos de explotación. Monitorear los registros del sistema en busca de patrones de escritura de archivos inusuales o sospechosos puede ayudar a identificar posibles ataques en curso.
Actualice NVIDIA NeMo Framework a la versión 24.12 o posterior. Esto corregirá la vulnerabilidad de path traversal y evitará la posible ejecución de código y manipulación de datos. Descargue la versión más reciente desde el sitio web oficial de NVIDIA o a través del gestor de paquetes correspondiente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-23360 is a Path Traversal vulnerability in NVIDIA NeMo Framework allowing attackers to write arbitrary files, potentially leading to code execution and data tampering.
You are affected if you are using NVIDIA NeMo Framework versions prior to 24.12. All versions before 24.12 are vulnerable.
Upgrade to NVIDIA NeMo Framework version 24.12 or later. Implement stricter input validation as a temporary workaround if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation of CVE-2025-23360.
Refer to the NVIDIA security bulletin for CVE-2025-23360 on the NVIDIA website (https://www.nvidia.com/en-us/security/).
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.