Plateforme
nvidia
Composant
nvidia-jetson-for-jetpack
Corrigé dans
35.6.5
36.5.1
La vulnérabilité CVE-2026-24148 affecte NVIDIA Jetson for JetPack. Un attaquant non privilégié peut provoquer l'initialisation d'une ressource avec une configuration par défaut non sécurisée, menant à la divulgation d'informations, l'altération de données et un déni de service partiel. Les versions affectées sont celles antérieures à la 36.5. La version 35.6.4 corrige cette vulnérabilité.
La vulnérabilité CVE-2026-24148 affecte les séries Jetson Xavier et Jetson Orin, avec un score CVSS de 8.3. Elle se situe dans la logique d'initialisation du système, permettant à un attaquant non privilégié de forcer l'initialisation d'une ressource avec un paramètre par défaut non sécurisé. Une exploitation réussie pourrait entraîner la divulgation d'informations de données chiffrées, la falsification de données et une déni de service partiel sur les appareils partageant le même ID de machine. Cette vulnérabilité nécessite une action immédiate pour protéger les systèmes Jetson.
Un attaquant disposant d'un accès non privilégié à un système Jetson Xavier ou Orin peut exploiter cette vulnérabilité. L'attaquant peut manipuler la configuration d'initialisation d'une ressource, ce qui pourrait entraîner la divulgation d'informations sensibles, telles que des clés de chiffrement ou des données chiffrées. Un déni de service partiel pourrait se produire si l'attaquant interrompt le processus d'initialisation d'une ressource critique. Le risque est amplifié dans les environnements multi-appareils partageant le même ID de machine, car la vulnérabilité pourrait affecter plusieurs appareils simultanément.
Organizations deploying NVIDIA Jetson devices in environments requiring data confidentiality and integrity are at significant risk. This includes robotics applications, edge computing deployments, and any scenario where sensitive data is processed or stored on Jetson devices. Shared hosting environments utilizing Jetson devices are particularly vulnerable due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -u jetpack-system-initialization | grep -i 'insecure default'• linux / server:
ps aux | grep -i 'jetpack-system-initialization'• linux / server:
ls -l /opt/nvidia/jetpack/system_initialization.sh• linux / server:
cat /etc/machine-iddisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
NVIDIA recommande de mettre à niveau vers JetPack 35.6.4 ou une version ultérieure pour atténuer cette vulnérabilité. Cette mise à jour corrige la logique d'initialisation défectueuse et garantit que les ressources sont initialisées de manière sécurisée. Il est essentiel d'appliquer cette mise à jour dès que possible, en particulier dans les environnements où la sécurité des données chiffrées est primordiale. Consultez les notes de publication de JetPack 35.6.4 pour obtenir des instructions d'installation détaillées et toute autre considération. Il est également conseillé de surveiller proactivement les systèmes Jetson à la recherche d'exploits potentiels.
Mettez à jour NVIDIA Jetson for JetPack vers la version 35.6.4 ou supérieure, ou vers la version 36.5 ou supérieure, selon le cas, pour corriger la vulnérabilité. Cela empêchera un attaquant non privilégié d'initialiser une ressource avec une valeur par défaut non sécurisée, ce qui pourrait conduire à la divulgation d'informations, à la manipulation de données et à un déni de service partiel.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un ID de machine est un identifiant unique attribué à chaque appareil Jetson. Dans ce contexte, la vulnérabilité affecte les appareils partageant le même ID de machine.
La vulnérabilité pourrait permettre la divulgation de toutes les données chiffrées stockées ou traitées par la ressource concernée. Cela peut inclure des clés de chiffrement, des données utilisateur et d'autres informations sensibles.
Vous pouvez vérifier votre version de JetPack en exécutant la commande nvcc --version dans la ligne de commande de l'appareil.
Si vous ne pouvez pas mettre à niveau immédiatement, envisagez de restreindre l'accès non autorisé aux ressources système et de surveiller les activités suspectes.
KEV : non indique que NVIDIA n'a pas publié de Validation de l'ingénierie des connaissances (KEV) pour cette vulnérabilité. Cela ne diminue pas l'importance de la vulnérabilité, mais signifie simplement qu'aucun KEV spécifique n'est disponible.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.