NVIDIA Nemo Framework में एक भेद्यता मौजूद है जहाँ एक उपयोगकर्ता मनमाने फ़ाइल लेखन द्वारा एक सापेक्ष पथ ट्रैवर्सल समस्या पैदा कर सकता है। इस भेद्यता का सफल शोषण कोड निष्पादन (code execution) की ओर ले जा सकता है।

यह भेद्यता हमलावरों को सिस्टम पर मनमाने ढंग से फ़ाइलों को पढ़ने और लिखने की अनुमति देती है। इसका मतलब है कि वे संवेदनशील डेटा तक पहुँच सकते हैं, सिस्टम फ़ाइलों को संशोधित कर सकते हैं, या यहां तक ​​कि दुर्भावनापूर्ण कोड निष्पादित कर सकते हैं। एक सफल शोषण से डेटा हानि, सिस्टम समझौता और संभावित रूप से अन्य प्रणालियों में पार्श्व आंदोलन हो सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि NeMo Framework का उपयोग मशीन लर्निंग मॉडल के विकास और तैनाती के लिए किया जाता है, जिसका अर्थ है कि हमलावर महत्वपूर्ण डेटा और सिस्टम तक पहुँच प्राप्त कर सकते हैं। इस भेद्यता का शोषण अन्य पथ पारगमन भेद्यताओं के समान पैटर्न का पालन कर सकता है, जहां हमलावर फ़ाइल पथों में हेरफेर करके अनधिकृत पहुँच प्राप्त करते हैं।

Organizations utilizing the NVIDIA NeMo Framework for natural language processing tasks, particularly those involved in model training or deployment, are at risk. This includes research institutions, AI development companies, and any entity relying on NeMo for its NLP pipelines. Environments with less stringent security controls or those running older, unpatched versions of the framework are particularly vulnerable.

• python / framework: Inspect NeMo Framework code for file handling routines that construct paths from user-supplied input. Look for missing or inadequate validation.

import os
# Vulnerable code example
filepath = os.path.join(base_dir, user_input)
# Safe code example
filepath = os.path.join(base_dir, os.path.normpath(user_input))

• generic web: Monitor web server access logs for unusual file access patterns, particularly attempts to access files outside of the expected directory structure. • generic web: Check for unexpected files appearing in sensitive directories within the NeMo Framework installation.

1. 2025-03-11Disclosure

   disclosure

1. आरक्षित2025-01-14
2. प्रकाशित2025-03-11
3. EPSS अद्यतन2026-04-02

इस भेद्यता को कम करने के लिए, NVIDIA NeMo Framework को संस्करण 24.12 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल एक्सेस को सीमित करने और अनधिकृत लेखन को रोकने के लिए फ़ायरवॉल नियमों या वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग किया जा सकता है। इसके अतिरिक्त, इनपुट सत्यापन को मजबूत करना और फ़ाइल पथों को सैनिटाइज़ करना भेद्यता के जोखिम को कम करने में मदद कर सकता है। सिस्टम लॉग की नियमित रूप से निगरानी करना और किसी भी असामान्य गतिविधि की जांच करना भी महत्वपूर्ण है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, फ़ाइल एक्सेस नियंत्रण और इनपुट सत्यापन को सत्यापित करें।