Plataforma
nvidia
Componente
nvidia-jetson-for-jetpack
Corrigido em
35.6.5
36.5.1
A vulnerabilidade CVE-2026-24148 no NVIDIA Jetson para JetPack permite que um atacante não privilegiado cause a inicialização de um recurso com um padrão inseguro. A exploração bem-sucedida pode levar à divulgação de informações criptografadas, adulteração de dados e DoS parcial em dispositivos que compartilham o mesmo ID de máquina. Afeta versões anteriores à 36.5. A correção está disponível na versão 35.6.4.
A vulnerabilidade CVE-2026-24148 afeta as séries Jetson Xavier e Jetson Orin, com uma pontuação CVSS de 8.3. Ela reside na lógica de inicialização do sistema, permitindo que um atacante não privilegiado force a inicialização de um recurso com um padrão inseguro. A exploração bem-sucedida pode levar à divulgação de informações de dados criptografados, adulteração de dados e negação de serviço parcial em dispositivos que compartilham o mesmo ID de máquina. Esta vulnerabilidade requer atenção imediata para proteger os sistemas Jetson.
Um atacante com acesso não privilegiado a um sistema Jetson Xavier ou Orin pode explorar esta vulnerabilidade. O atacante pode manipular a configuração de inicialização de um recurso, levando potencialmente à divulgação de informações confidenciais, como chaves de criptografia ou dados criptografados. A negação de serviço parcial pode ocorrer se o atacante interromper o processo de inicialização de um recurso crítico. O risco é amplificado em ambientes multi-dispositivo que compartilham o mesmo ID de máquina, pois a vulnerabilidade pode afetar vários dispositivos simultaneamente.
Organizations deploying NVIDIA Jetson devices in environments requiring data confidentiality and integrity are at significant risk. This includes robotics applications, edge computing deployments, and any scenario where sensitive data is processed or stored on Jetson devices. Shared hosting environments utilizing Jetson devices are particularly vulnerable due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -u jetpack-system-initialization | grep -i 'insecure default'• linux / server:
ps aux | grep -i 'jetpack-system-initialization'• linux / server:
ls -l /opt/nvidia/jetpack/system_initialization.sh• linux / server:
cat /etc/machine-iddisclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A NVIDIA recomenda atualizar para o JetPack 35.6.4 ou posterior para mitigar esta vulnerabilidade. Esta atualização corrige a lógica de inicialização defeituosa e garante que os recursos sejam inicializados de forma segura. Aplicar esta atualização o mais rápido possível é crucial, especialmente em ambientes onde a segurança de dados criptografados é fundamental. Consulte as notas de lançamento do JetPack 35.6.4 para obter instruções detalhadas de instalação e quaisquer considerações adicionais. Também é aconselhável monitorar proativamente os sistemas Jetson em busca de possíveis exploits.
Actualice NVIDIA Jetson for JetPack a la versión 35.6.4 o posterior, o a la versión 36.5 o posterior, según corresponda, para mitigar esta vulnerabilidad. La actualización corrige la lógica de inicialización del sistema, evitando que un atacante no privilegiado cause la inicialización de un recurso con un valor predeterminado inseguro.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um ID de máquina é um identificador único atribuído a cada dispositivo Jetson. Neste contexto, a vulnerabilidade afeta os dispositivos que compartilham o mesmo ID de máquina.
A vulnerabilidade pode permitir a divulgação de quaisquer dados criptografados armazenados ou processados pelo recurso afetado. Isso pode incluir chaves de criptografia, dados do usuário e outras informações confidenciais.
Você pode verificar sua versão do JetPack executando o comando nvcc --version na linha de comando do dispositivo.
Se você não puder atualizar imediatamente, considere restringir o acesso não autorizado aos recursos do sistema e monitorar atividades suspeitas.
KEV: no indica que a NVIDIA não emitiu uma Validação de Engenharia de Conhecimento (KEV) para esta vulnerabilidade. Isso não diminui a importância da vulnerabilidade, mas simplesmente significa que um KEV específico não está disponível.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.