Platform
nvidia
Component
nvidia/nemo
Opgelost in
24.12.1
CVE-2025-23360 beschrijft een Path Traversal kwetsbaarheid in de NVIDIA NeMo Framework. Deze kwetsbaarheid stelt een aanvaller in staat om via een relatief padtraversaal probleem willekeurige bestanden te schrijven. Het succesvol exploiteren van deze kwetsbaarheid kan leiden tot code-uitvoering en data manipulatie. De kwetsbaarheid treft alle versies van de NeMo Framework die lager zijn dan of gelijk aan 24.12. Een update naar versie 24.12 of hoger is beschikbaar als oplossing.
Een succesvolle exploitatie van CVE-2025-23360 kan aanzienlijke gevolgen hebben. Een aanvaller kan, door willekeurige bestanden te schrijven, potentieel toegang krijgen tot gevoelige configuratiebestanden, broncode of andere kritieke data. Dit kan leiden tot code-uitvoering, waardoor de aanvaller de controle over het systeem kan overnemen. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij de aanvaller de mogelijkheid heeft om bestanden buiten de toegestane directory te benaderen en te wijzigen. De blast radius is afhankelijk van de privileges van de gebruiker die de NeMo Framework draait.
Op het moment van publicatie (2025-03-11) is er geen informatie beschikbaar over actieve exploitatiecampagnes of een KEV-listing. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend. De CVSS score van 7.1 (HIGH) duidt op een potentieel significant risico, en het is aan te raden om de kwetsbaarheid zo snel mogelijk te patchen.
Organizations utilizing the NVIDIA NeMo Framework for natural language processing tasks, particularly those involved in model training or deployment, are at risk. This includes research institutions, AI development companies, and any entity relying on NeMo for its NLP pipelines. Environments with less stringent security controls or those running older, unpatched versions of the framework are particularly vulnerable.
• python / framework: Inspect NeMo Framework code for file handling routines that construct paths from user-supplied input. Look for missing or inadequate validation.
import os
# Vulnerable code example
filepath = os.path.join(base_dir, user_input)
# Safe code example
filepath = os.path.join(base_dir, os.path.normpath(user_input))• generic web: Monitor web server access logs for unusual file access patterns, particularly attempts to access files outside of the expected directory structure. • generic web: Check for unexpected files appearing in sensitive directories within the NeMo Framework installation.
disclosure
Exploit Status
EPSS
0.16% (37% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-23360 is het upgraden van de NVIDIA NeMo Framework naar versie 24.12 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan om de toegang tot de NeMo Framework te beperken tot vertrouwde gebruikers en systemen. Implementeer strikte inputvalidatie om te voorkomen dat relatieve paden worden gebruikt. Monitor de systemen op ongebruikelijke bestandstoegangspatronen. Na de upgrade, controleer de logbestanden op eventuele foutmeldingen of verdachte activiteiten gerelateerd aan de NeMo Framework.
Actualice NVIDIA NeMo Framework a la versión 24.12 o posterior. Esto corregirá la vulnerabilidad de path traversal y evitará la posible ejecución de código y manipulación de datos. Descargue la versión más reciente desde el sitio web oficial de NVIDIA o a través del gestor de paquetes correspondiente.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-23360 is a Path Traversal vulnerability in NVIDIA NeMo Framework allowing attackers to write arbitrary files, potentially leading to code execution and data tampering.
You are affected if you are using NVIDIA NeMo Framework versions prior to 24.12. All versions before 24.12 are vulnerable.
Upgrade to NVIDIA NeMo Framework version 24.12 or later. Implement stricter input validation as a temporary workaround if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation of CVE-2025-23360.
Refer to the NVIDIA security bulletin for CVE-2025-23360 on the NVIDIA website (https://www.nvidia.com/en-us/security/).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.