Plateforme
nvidia
Composant
nvidia/nemo
Corrigé dans
24.12.1
La vulnérabilité CVE-2025-23360 affecte le framework NVIDIA NeMo, permettant à un utilisateur de provoquer un problème de parcours de chemin relatif via une écriture de fichier arbitraire. Cette faille peut potentiellement mener à l'exécution de code et à la manipulation de données. Les versions du framework NVIDIA NeMo antérieures à 24.12 sont concernées. Une mise à jour vers la version 24.12 corrige cette vulnérabilité.
Un attaquant exploitant avec succès cette vulnérabilité de parcours de chemin pourrait potentiellement écrire des fichiers dans des emplacements arbitraires sur le système, contournant ainsi les contrôles de sécurité. Cela pourrait permettre l'exécution de code malveillant, la modification de fichiers système critiques, et l'accès non autorisé à des données sensibles. L'impact est significatif car il peut compromettre l'intégrité et la confidentialité du système. Bien qu'il n'y ait pas d'exemples publics d'exploitation directe de cette vulnérabilité, le potentiel d'exécution de code en fait une menace sérieuse, similaire à d'autres vulnérabilités de parcours de chemin qui ont été exploitées pour prendre le contrôle de systèmes.
La vulnérabilité CVE-2025-23360 a été publiée le 11 mars 2025. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nature de la vulnérabilité de parcours de chemin et du potentiel d'exécution de code. Il n'est pas listé sur le KEV de CISA pour le moment. Des preuves de concept publiques n'ont pas été signalées à ce jour.
Organizations utilizing the NVIDIA NeMo Framework for natural language processing tasks, particularly those involved in model training or deployment, are at risk. This includes research institutions, AI development companies, and any entity relying on NeMo for its NLP pipelines. Environments with less stringent security controls or those running older, unpatched versions of the framework are particularly vulnerable.
• python / framework: Inspect NeMo Framework code for file handling routines that construct paths from user-supplied input. Look for missing or inadequate validation.
import os
# Vulnerable code example
filepath = os.path.join(base_dir, user_input)
# Safe code example
filepath = os.path.join(base_dir, os.path.normpath(user_input))• generic web: Monitor web server access logs for unusual file access patterns, particularly attempts to access files outside of the expected directory structure. • generic web: Check for unexpected files appearing in sensitive directories within the NeMo Framework installation.
disclosure
Statut de l'Exploit
EPSS
0.16% (percentile 37%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour NVIDIA NeMo Framework vers la version 24.12 ou supérieure, qui inclut la correction de cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre les autorisations d'écriture de fichiers pour les utilisateurs du framework. Implémentez des contrôles de validation des chemins d'accès pour empêcher l'écriture de fichiers en dehors des répertoires autorisés. Surveillez les journaux système pour détecter toute tentative d'écriture de fichiers dans des emplacements inattendus. Après la mise à jour, vérifiez que la vulnérabilité est corrigée en tentant d'écrire un fichier dans un répertoire non autorisé et en vous assurant que l'opération échoue.
Actualice NVIDIA NeMo Framework a la versión 24.12 o posterior. Esto corregirá la vulnerabilidad de path traversal y evitará la posible ejecución de código y manipulación de datos. Descargue la versión más reciente desde el sitio web oficial de NVIDIA o a través del gestor de paquetes correspondiente.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-23360 is a Path Traversal vulnerability in NVIDIA NeMo Framework allowing attackers to write arbitrary files, potentially leading to code execution and data tampering.
You are affected if you are using NVIDIA NeMo Framework versions prior to 24.12. All versions before 24.12 are vulnerable.
Upgrade to NVIDIA NeMo Framework version 24.12 or later. Implement stricter input validation as a temporary workaround if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation of CVE-2025-23360.
Refer to the NVIDIA security bulletin for CVE-2025-23360 on the NVIDIA website (https://www.nvidia.com/en-us/security/).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.