HIGHCVE-2025-23360CVSS 7.1

NVIDIA Nemo Framework には、任意のファイル書き込みによって相対パストラバーサル問題を発生させる可能性がある脆弱性が存在します。この脆弱性の悪用により、コード実行が可能となる可能性があります。

プラットフォーム

nvidia

コンポーネント

nvidia/nemo

修正版

24.12.1

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

NVIDIA NeMo Frameworkにおいて、相対パストラバーサル脆弱性が確認されています。この脆弱性は、攻撃者が任意のファイル書き込み操作を通じて、意図しないファイルへのアクセスを可能にする可能性があります。影響を受けるバージョンは24.12以前であり、24.12以降のバージョンで修正されています。迅速なバージョンアップを推奨します。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はNeMo Frameworkの処理対象となるファイルパスを操作し、本来アクセスできないファイルにアクセスできるようになります。これにより、機密情報の窃取、システムの改ざん、さらにはコード実行といった深刻な被害が発生する可能性があります。特に、NeMo Frameworkが機密データを扱う環境では、この脆弱性の影響は甚大です。攻撃者は、この脆弱性を利用して、NeMo Frameworkの内部処理を制御し、システム全体への影響を及ぼす可能性があります。

悪用の状況

本脆弱性は2025年3月11日に公開されました。現時点では、公的なPoCは確認されていませんが、パストラバーサル脆弱性は悪用が容易なため、将来的に悪用される可能性は否定できません。CISA KEVへの登録状況は確認されていません。NVDの情報を参照し、最新の情報を確認してください。

リスク対象者翻訳中…

Organizations utilizing the NVIDIA NeMo Framework for natural language processing tasks, particularly those involved in model training or deployment, are at risk. This includes research institutions, AI development companies, and any entity relying on NeMo for its NLP pipelines. Environments with less stringent security controls or those running older, unpatched versions of the framework are particularly vulnerable.

検出手順翻訳中…

• python / framework: Inspect NeMo Framework code for file handling routines that construct paths from user-supplied input. Look for missing or inadequate validation.

import os
# Vulnerable code example
filepath = os.path.join(base_dir, user_input)
# Safe code example
filepath = os.path.join(base_dir, os.path.normpath(user_input))

• generic web: Monitor web server access logs for unusual file access patterns, particularly attempts to access files outside of the expected directory structure. • generic web: Check for unexpected files appearing in sensitive directories within the NeMo Framework installation.

攻撃タイムライン

2025-03-11Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

EPSS

0.16% (37% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントnvidia/nemo

ベンダーNVIDIA

影響範囲修正版

All versions prior to 24.12 – All versions prior to 24.1224.12.1

弱点分類 (CWE)

CWE-23

タイムライン

予約済み2025-01-14
公開日2025-03-11
EPSS 更新日2026-04-02

緩和策と回避策

NVIDIA NeMo Frameworkのバージョンを24.12以降にアップグレードすることが最も効果的な対策です。アップグレードが困難な場合は、ファイル書き込み操作の入力を厳密に検証し、不正なパスが使用されないように制限するWAFやプロキシの設定を検討してください。また、NeMo Frameworkがアクセスできるファイルの範囲を制限するアクセス制御の設定も有効です。脆弱性スキャンツールを活用し、定期的にシステムの脆弱性をチェックすることも重要です。アップグレード後、NeMo Frameworkのログを監視し、異常なファイルアクセスがないか確認してください。

修正方法翻訳中…

Actualice NVIDIA NeMo Framework a la versión 24.12 o posterior. Esto corregirá la vulnerabilidad de path traversal y evitará la posible ejecución de código y manipulación de datos. Descargue la versión más reciente desde el sitio web oficial de NVIDIA o a través del gestor de paquetes correspondiente.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-23360 — Path Traversal in NVIDIA NeMo Frameworkとは何ですか？

CVE-2025-23360は、NVIDIA NeMo Frameworkにおける相対パストラバーサル脆弱性であり、攻撃者が任意のファイルにアクセスできる可能性があります。

CVE-2025-23360 in NVIDIA NeMo Frameworkの影響はありますか？

NVIDIA NeMo Frameworkのバージョンが24.12以前を使用している場合、影響を受ける可能性があります。

CVE-2025-23360 in NVIDIA NeMo Frameworkを修正するにはどうすればよいですか？

NVIDIA NeMo Frameworkをバージョン24.12以降にアップグレードしてください。

CVE-2025-23360は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、将来的に悪用される可能性は否定できません。

CVE-2025-23360に関するNVIDIAの公式アドバイザリはどこで入手できますか？

NVIDIAのセキュリティアドバイザリページを参照してください。詳細はNVDの情報を確認してください。