Plataforma
nvidia
Componente
nvidia-isaac-gr00t
Corregido en
7.0.1
Se ha identificado una vulnerabilidad de inyección de código en el componente Python de NVIDIA Isaac-GR00T, una plataforma para robótica. Esta falla permite a un atacante ejecutar código malicioso, potencialmente escalando privilegios, exponiendo información sensible y alterando datos. La vulnerabilidad afecta a todas las versiones de Isaac-GR00T anteriores al commit 7f53666, y se recomienda aplicar la actualización correspondiente.
La inyección de código en NVIDIA Isaac-GR00T representa un riesgo significativo para los sistemas que utilizan esta plataforma. Un atacante podría aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en el sistema, comprometiendo la integridad y confidencialidad de los datos. Esto podría incluir el acceso no autorizado a información sensible, la modificación de parámetros del sistema o incluso el control total del robot. La capacidad de ejecutar código arbitrario abre la puerta a una amplia gama de ataques, desde la interrupción del servicio hasta el robo de propiedad intelectual.
La vulnerabilidad CVE-2025-33184 fue publicada el 18 de noviembre de 2025. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos al momento de la publicación. La naturaleza de la vulnerabilidad, que permite la inyección de código, sugiere que podría ser explotada en el futuro si se desarrollan exploits públicos.
Organizations and individuals utilizing NVIDIA Isaac-GR00T for robotics development and deployment are at risk. This includes researchers, engineers, and companies developing autonomous systems, particularly those relying on custom Python scripts within their Isaac-GR00T workflows. Those using older, unpatched versions of Isaac-GR00T are most vulnerable.
• python / supply-chain:
import os
import subprocess
# Check for the vulnerable version of Isaac-GR00T
process = subprocess.Popen(['python', '-c', 'import isaac_gr00t; print(isaac_gr00t.__version__)'], stdout=subprocess.PIPE, stderr=subprocess.PIPE)
stdout, stderr = process.communicate()
version = stdout.decode('utf-8').strip()
if version and version != '7f53666':
print(f"Vulnerable version detected: {version}")• generic web: Check for unusual Python processes running with elevated privileges. • generic web: Monitor system logs for suspicious Python script executions or attempts to access sensitive files.
disclosure
Estado del Exploit
EPSS
0.04% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-33184 es actualizar NVIDIA Isaac-GR00T a la versión que incluye el commit 7f53666. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como restringir el acceso al componente Python vulnerable y monitorear la actividad del sistema en busca de comportamientos sospechosos. Implementar un firewall de aplicaciones web (WAF) con reglas para detectar y bloquear intentos de inyección de código también puede ayudar a mitigar el riesgo. Revise los permisos del usuario y asegúrese de que solo tengan acceso a los recursos necesarios.
Actualice NVIDIA Isaac-GR00T a una versión que incluya el commit 7f53666 o posterior. Esto solucionará la vulnerabilidad de inyección de código en el componente Python. Consulte el aviso de seguridad de NVIDIA para obtener más detalles e instrucciones específicas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-33184 is a code injection vulnerability affecting NVIDIA Isaac-GR00T versions before 7f53666, allowing attackers to execute arbitrary code and potentially compromise the system.
You are affected if you are using NVIDIA Isaac-GR00T versions prior to 7f53666. Check your version and upgrade immediately.
Upgrade to NVIDIA Isaac-GR00T version 7f53666 or later. Implement input validation as a temporary workaround if immediate upgrade is not possible.
There is currently no evidence of active exploitation, but the vulnerability's nature suggests a potential for future attacks.
Refer to the NVIDIA security bulletin for CVE-2025-33184 on the NVIDIA website (https://www.nvidia.com/en-us/security/).
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.