Plataforma
nvidia
Componente
nemo-framework
Corregido en
2.5.1
Se ha identificado una vulnerabilidad de ejecución de código (RCE) en el NVIDIA NeMo Framework, un conjunto de herramientas para el desarrollo de modelos de lenguaje. Esta vulnerabilidad, presente en todas las versiones anteriores a la 2.5.0, se origina en un script que permite el control indebido de la generación de código mediante la inyección de entradas maliciosas. La actualización a la versión 2.5.0 resuelve esta vulnerabilidad y protege contra posibles ataques.
Un atacante que explote esta vulnerabilidad podría ejecutar código arbitrario en el sistema donde se ejecuta el NVIDIA NeMo Framework. Esto podría resultar en la toma de control del sistema, la divulgación de información sensible, la manipulación de datos y, potencialmente, el acceso a otros sistemas en la red. La severidad de esta vulnerabilidad radica en su potencial para comprometer la confidencialidad, integridad y disponibilidad de los sistemas afectados. La capacidad de ejecutar código arbitrario permite al atacante instalar malware, robar credenciales o realizar otras acciones maliciosas con privilegios elevados.
Esta vulnerabilidad ha sido publicada el 2025-11-11. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (RCE) sugiere un riesgo de explotación si se desarrolla un PoC. La probabilidad de explotación se considera moderada, dado el potencial impacto y la disponibilidad de la información técnica.
Organizations and developers utilizing the NVIDIA NeMo Framework for natural language processing and AI model development are at risk. Specifically, those relying on older versions (prior to 2.5.0) and those who have not implemented robust input validation practices are particularly vulnerable. Shared hosting environments where multiple users may have access to NeMo Framework scripts also present an increased risk.
• python / framework: Inspect NeMo Framework scripts for suspicious code generation patterns. Look for dynamically generated code blocks that might be influenced by external input.
import ast
import inspect
def analyze_script(script_code):
tree = ast.parse(script_code)
for node in ast.walk(tree):
if isinstance(node, ast.Call) and isinstance(node.func, ast.Name) and node.func.id == 'eval':
print("Potential code execution vulnerability detected!")• generic web: Monitor network traffic for unusual requests targeting NeMo Framework endpoints. Look for POST requests with large or complex payloads. • generic web: Check system logs for errors or warnings related to code generation or script execution within the NeMo Framework.
disclosure
Estado del Exploit
EPSS
0.04% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el NVIDIA NeMo Framework a la versión 2.5.0 o superior. Si la actualización no es inmediatamente posible, se recomienda revisar cuidadosamente todas las entradas proporcionadas al framework para evitar la inyección de código malicioso. Implementar controles de validación de entrada robustos puede ayudar a prevenir la explotación de esta vulnerabilidad. Aunque no hay reglas WAF específicas disponibles, se pueden crear reglas personalizadas para detectar y bloquear patrones de inyección de código sospechosos. Verifique la integridad de los archivos del framework después de la actualización para asegurar que no han sido comprometidos.
Actualice NVIDIA NeMo Framework a la versión 2.5.0 o posterior. Esto corregirá la vulnerabilidad que permite la ejecución de código arbitrario, escalada de privilegios, divulgación de información y manipulación de datos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-23361 is a vulnerability in NVIDIA NeMo Framework versions before 2.5.0 where malicious input can lead to code execution, privilege escalation, and data compromise due to improper code generation control.
If you are using NVIDIA NeMo Framework versions prior to 2.5.0, you are potentially affected by this vulnerability. Upgrade immediately to mitigate the risk.
The recommended fix is to upgrade to NVIDIA NeMo Framework version 2.5.0 or later. If immediate upgrade is not possible, implement stricter input validation and sanitization.
As of the public disclosure date (2025-11-11), there is no confirmed evidence of active exploitation of CVE-2025-23361.
Refer to the official NVIDIA security advisory for detailed information and updates regarding CVE-2025-23361. Check the NVIDIA security bulletin website for the latest advisory.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.