Platform
nvidia
Component
nvidia-jetson-for-jetpack
Opgelost in
35.6.5
36.5.1
CVE-2026-24148 is een kwetsbaarheid in de initialisatielogica van NVIDIA Jetson voor JetPack. Een ongeautoriseerde aanvaller kan deze kwetsbaarheid misbruiken om de initialisatie van een resource met een onveilige standaard te veroorzaken, wat kan leiden tot informatielek van versleutelde data, data manipulatie en een gedeeltelijk denial of service. Deze kwetsbaarheid treft alle versies van JetPack tot en met de versies prior to 35.6.4. Een patch is beschikbaar in versie 35.6.4.
CVE-2026-24148 heeft invloed op de Jetson Xavier- en Jetson Orin-series, met een CVSS-score van 8.3. De kwetsbaarheid bevindt zich in de systeeminitialisatielogica, waardoor een niet-geprivilegieerde aanvaller de initialisatie van een bron met een onveilige standaardwaarde kan triggeren. Een succesvolle exploitatie kan leiden tot de openbaarmaking van informatie van versleutelde gegevens, manipulatie van gegevens en een gedeeltelijke denial-of-service op apparaten die dezelfde machine-ID delen. Deze kwetsbaarheid vereist onmiddellijke actie om Jetson-systemen te beschermen.
Een aanvaller met niet-geprivilegieerde toegang tot een Jetson Xavier- of Orin-systeem kan deze kwetsbaarheid exploiteren. De aanvaller kan de initialisatieconfiguratie van een bron manipuleren, wat mogelijk kan leiden tot de openbaarmaking van gevoelige informatie, zoals encryptiesleutels of versleutelde gegevens. Een gedeeltelijke denial-of-service kan optreden als de aanvaller het initialisatieproces van een kritieke bron verstoort. Het risico wordt vergroot in multi-apparaat-omgevingen die dezelfde machine-ID delen, aangezien de kwetsbaarheid meerdere apparaten tegelijkertijd kan beïnvloeden.
Organizations deploying NVIDIA Jetson devices in environments requiring data confidentiality and integrity are at significant risk. This includes robotics applications, edge computing deployments, and any scenario where sensitive data is processed or stored on Jetson devices. Shared hosting environments utilizing Jetson devices are particularly vulnerable due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -u jetpack-system-initialization | grep -i 'insecure default'• linux / server:
ps aux | grep -i 'jetpack-system-initialization'• linux / server:
ls -l /opt/nvidia/jetpack/system_initialization.sh• linux / server:
cat /etc/machine-iddisclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
NVIDIA raadt aan om te upgraden naar JetPack 35.6.4 of hoger om deze kwetsbaarheid te verhelpen. Deze update corrigeert de defecte initialisatielogica en zorgt ervoor dat bronnen veilig worden geïnitialiseerd. Het is cruciaal om deze update zo snel mogelijk toe te passen, vooral in omgevingen waar de beveiliging van versleutelde gegevens van het grootste belang is. Raadpleeg de release notes van JetPack 35.6.4 voor gedetailleerde installatie-instructies en eventuele aanvullende overwegingen. Het wordt ook aanbevolen om Jetson-systemen proactief te monitoren op potentiële exploits.
Actualice NVIDIA Jetson for JetPack a la versión 35.6.4 o posterior, o a la versión 36.5 o posterior, según corresponda, para mitigar esta vulnerabilidad. La actualización corrige la lógica de inicialización del sistema, evitando que un atacante no privilegiado cause la inicialización de un recurso con un valor predeterminado inseguro.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een machine-ID is een unieke identificatie die aan elk Jetson-apparaat wordt toegewezen. In deze context heeft de kwetsbaarheid betrekking op apparaten die dezelfde machine-ID delen.
De kwetsbaarheid kan de openbaarmaking van alle versleutelde gegevens mogelijk maken die door de getroffen bron worden opgeslagen of verwerkt. Dit kan encryptiesleutels, gebruikersgegevens en andere gevoelige informatie omvatten.
U kunt uw JetPack-versie controleren door de opdracht nvcc --version in de opdrachtregel van het apparaat uit te voeren.
Als u niet onmiddellijk kunt updaten, overweeg dan om ongeautoriseerde toegang tot systeembronnen te beperken en te controleren op verdachte activiteiten.
KEV: nee geeft aan dat NVIDIA geen Knowledge Engineering Validation (KEV) heeft uitgegeven voor deze kwetsbaarheid. Dit vermindert niet het belang van de kwetsbaarheid, maar betekent simpelweg dat er geen specifieke KEV beschikbaar is.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.