प्लेटफ़ॉर्म
nvidia
घटक
nemo-framework
में ठीक किया गया
25.02
NVIDIA NeMo Framework में एक भेद्यता पाई गई है, जहाँ एक हमलावर किसी प्रतिबंधित निर्देशिका तक पथ को सीमित करने में अनुचित सीमाएँ पैदा कर सकता है, जिससे अनधिकृत फ़ाइल लेखन हो सकता है। यह भेद्यता कोड निष्पादन और डेटा में हेरफेर का कारण बन सकती है। यह भेद्यता NVIDIA NeMo Framework के 25.02 से पहले के सभी संस्करणों को प्रभावित करती है। संस्करण 25.02 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को सिस्टम पर अनधिकृत फ़ाइलें लिखने की अनुमति दे सकती है, जिससे वे संवेदनशील डेटा तक पहुँच प्राप्त कर सकते हैं या दुर्भावनापूर्ण कोड निष्पादित कर सकते हैं। हमलावर सिस्टम पर नियंत्रण हासिल कर सकता है और डेटा को दूषित या नष्ट कर सकता है। इस भेद्यता का उपयोग सिस्टम पर अन्य कमजोरियों का फायदा उठाने के लिए भी किया जा सकता है, जिससे हमलावर को और अधिक विशेषाधिकार प्राप्त हो सकते हैं। इस भेद्यता का संभावित प्रभाव बहुत अधिक है, क्योंकि यह हमलावर को सिस्टम पर पूर्ण नियंत्रण प्राप्त करने की अनुमति दे सकता है।
यह भेद्यता अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं हुई है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं। CISA ने इस भेद्यता को अपनी KEV (Known Exploited Vulnerabilities) सूची में शामिल करने पर विचार किया है। NVIDIA ने 2025-04-22 को इस भेद्यता का खुलासा किया।
Organizations utilizing NVIDIA NeMo Framework for machine learning model development, deployment, or inference are at risk. This includes research institutions, AI startups, and enterprises leveraging NeMo for natural language processing tasks. Specifically, deployments that rely on user-provided data or configurations without robust input validation are particularly vulnerable.
• python / framework: Inspect NeMo Framework application code for file writing operations. Look for instances where user-supplied input is directly used in file paths without proper sanitization.
import os
def write_file(filename, data):
with open(filename, 'w') as f:
f.write(data)
# Vulnerable code: filename is directly from user input
filename = input("Enter filename: ")
write_file(filename, "Some data")• generic web: Monitor web server access logs for requests containing unusual or unexpected file paths within NeMo Framework application directories. Look for patterns indicative of directory traversal attempts. • generic web: Check for unexpected files appearing in NeMo Framework application directories, particularly files with unusual extensions or names.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.41% (61% शतमक)
CISA SSVC
CVSS वेक्टर
NVIDIA NeMo Framework को संस्करण 25.02 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो फ़ाइल सिस्टम अनुमतियों को सख्त करके अनधिकृत फ़ाइल लेखन को रोकने के लिए अस्थायी उपाय किए जा सकते हैं। फ़ाइल सिस्टम एक्सेस को सीमित करने के लिए WAF (वेब एप्लीकेशन फ़ायरवॉल) नियमों को कॉन्फ़िगर किया जा सकता है। यह सुनिश्चित करें कि NeMo Framework का उपयोग केवल विश्वसनीय स्रोतों से ही किया जाए। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, सिस्टम लॉग की निगरानी करके और फ़ाइल सिस्टम एक्सेस को प्रतिबंधित करके।
Actualice NVIDIA NeMo Framework a la versión 25.02 o posterior. Esto corregirá la vulnerabilidad de escritura arbitraria de archivos que podría permitir la ejecución de código y la manipulación de datos. La actualización se puede realizar a través del gestor de paquetes utilizado para instalar el framework.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-23250 NVIDIA NeMo Framework में एक भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलें लिखने की अनुमति दे सकती है, जिससे कोड निष्पादन और डेटा में हेरफेर हो सकता है।
यदि आप NVIDIA NeMo Framework के संस्करण 25.02 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
NVIDIA NeMo Framework को संस्करण 25.02 या बाद के संस्करण में तुरंत अपडेट करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है।
NVIDIA की सुरक्षा सलाह NVIDIA की वेबसाइट पर उपलब्ध है: [NVIDIA Security Advisories](https://www.nvidia.com/en-us/security/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।