Plataforma
nvidia
Componente
nvidia/nemo
Corrigido em
24.12.1
Uma vulnerabilidade de Path Traversal foi descoberta no NVIDIA NeMo Framework, permitindo que um usuário cause um problema de percurso de caminho relativo através da escrita arbitrária de arquivos. Essa falha pode levar à execução de código e à manipulação de dados, representando um risco significativo para sistemas que utilizam o framework. A vulnerabilidade afeta todas as versões anteriores à 24.12, e uma correção foi disponibilizada nesta versão.
A exploração bem-sucedida desta vulnerabilidade de Path Traversal pode permitir que um atacante obtenha acesso não autorizado a arquivos sensíveis no sistema, potencialmente contendo informações confidenciais, chaves de API ou código-fonte. Além disso, o atacante pode modificar arquivos existentes ou injetar código malicioso, comprometendo a integridade do sistema e permitindo a execução remota de código. O impacto potencial é alto, pois a manipulação de arquivos pode levar à completa tomada de controle do sistema afetado.
A vulnerabilidade foi publicada em 2025-03-11. Não há informações disponíveis sobre a existência de um KEV (Key Vulnerability) ou um EPSS (Exploit Prediction Scoring System) score. Atualmente, não há relatos de exploração ativa desta vulnerabilidade, mas a natureza da falha de Path Traversal a torna um alvo potencial para ataques.
Organizations utilizing the NVIDIA NeMo Framework for natural language processing tasks, particularly those involved in model training or deployment, are at risk. This includes research institutions, AI development companies, and any entity relying on NeMo for its NLP pipelines. Environments with less stringent security controls or those running older, unpatched versions of the framework are particularly vulnerable.
• python / framework: Inspect NeMo Framework code for file handling routines that construct paths from user-supplied input. Look for missing or inadequate validation.
import os
# Vulnerable code example
filepath = os.path.join(base_dir, user_input)
# Safe code example
filepath = os.path.join(base_dir, os.path.normpath(user_input))• generic web: Monitor web server access logs for unusual file access patterns, particularly attempts to access files outside of the expected directory structure. • generic web: Check for unexpected files appearing in sensitive directories within the NeMo Framework installation.
disclosure
Status do Exploit
EPSS
0.16% (percentil 37%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização para a versão 24.12 do NVIDIA NeMo Framework. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso aos diretórios onde o framework é utilizado e monitorar a atividade de escrita de arquivos. Implementar regras de firewall para bloquear o acesso não autorizado aos serviços do framework também pode ajudar a reduzir o risco. Após a atualização, confirme a correção verificando os logs do sistema em busca de tentativas de acesso não autorizado.
Actualice NVIDIA NeMo Framework a la versión 24.12 o posterior. Esto corregirá la vulnerabilidad de path traversal y evitará la posible ejecución de código y manipulación de datos. Descargue la versión más reciente desde el sitio web oficial de NVIDIA o a través del gestor de paquetes correspondiente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-23360 is a Path Traversal vulnerability in NVIDIA NeMo Framework allowing attackers to write arbitrary files, potentially leading to code execution and data tampering.
You are affected if you are using NVIDIA NeMo Framework versions prior to 24.12. All versions before 24.12 are vulnerable.
Upgrade to NVIDIA NeMo Framework version 24.12 or later. Implement stricter input validation as a temporary workaround if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation of CVE-2025-23360.
Refer to the NVIDIA security bulletin for CVE-2025-23360 on the NVIDIA website (https://www.nvidia.com/en-us/security/).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.