HIGHCVE-2025-23360CVSS 7.1

NVIDIA Nemo Framework 包含一个漏洞，用户可以通过任意文件写入导致相对路径遍历问题。成功利用此漏洞可能导致代码执行。

平台

nvidia

组件

nvidia/nemo

修复版本

24.12.1

AI Confidence: highNVDEPSS 0.2%已审阅: 2026年5月

在NVD查看

保存

NVIDIA NeMo Framework存在一个路径遍历漏洞，允许攻击者通过任意文件写入操作，从而可能导致代码执行和数据篡改。该漏洞影响所有版本低于24.12的版本。NVIDIA已发布24.12版本以解决此问题，建议用户尽快升级。

影响与攻击场景

该路径遍历漏洞允许攻击者通过精心构造的文件写入请求，访问并修改NeMo Framework及其相关环境中的任意文件。攻击者可以利用此漏洞读取敏感信息，例如配置文件、密钥或源代码。更严重的是，攻击者可能能够执行恶意代码，完全控制受影响的系统。这种攻击模式类似于其他文件上传漏洞，但利用了路径遍历技术绕过安全检查。如果NeMo Framework用于处理用户上传的文件，则风险会进一步增加，因为攻击者可能能够上传恶意文件并将其作为合法文件执行。

利用背景

该漏洞已于2025年3月11日公开披露。目前尚未观察到大规模的公开利用，但由于漏洞的严重性和相对容易利用的特性，预计未来可能会出现利用尝试。该漏洞尚未被添加到CISA KEV目录，但其高CVSS评分表明存在中等至高的利用风险。建议密切关注安全社区的动态，并及时更新安全情报。

哪些人处于风险中翻译中…

Organizations utilizing the NVIDIA NeMo Framework for natural language processing tasks, particularly those involved in model training or deployment, are at risk. This includes research institutions, AI development companies, and any entity relying on NeMo for its NLP pipelines. Environments with less stringent security controls or those running older, unpatched versions of the framework are particularly vulnerable.

检测步骤翻译中…

• python / framework: Inspect NeMo Framework code for file handling routines that construct paths from user-supplied input. Look for missing or inadequate validation.

import os
# Vulnerable code example
filepath = os.path.join(base_dir, user_input)
# Safe code example
filepath = os.path.join(base_dir, os.path.normpath(user_input))

• generic web: Monitor web server access logs for unusual file access patterns, particularly attempts to access files outside of the expected directory structure. • generic web: Check for unexpected files appearing in sensitive directories within the NeMo Framework installation.

攻击时间线

2025-03-11Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

EPSS

0.16% (37% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件nvidia/nemo

供应商NVIDIA

影响范围修复版本

All versions prior to 24.12 – All versions prior to 24.1224.12.1

弱点分类 (CWE)

CWE-23

时间线

已保留2025-01-14
发布日期2025-03-11
EPSS 更新日期2026-04-02

缓解措施和替代方案

最有效的缓解措施是立即将NVIDIA NeMo Framework升级至24.12或更高版本。如果升级会中断现有工作流程，可以考虑临时限制用户上传文件的目录，并实施严格的文件类型验证。此外，可以配置Web应用防火墙（WAF）以阻止包含路径遍历模式的请求，例如使用“..”序列。监控NeMo Framework的日志文件，查找异常的文件访问或写入活动，可以帮助及早发现潜在的攻击。在升级后，验证NeMo Framework的文件系统完整性，确保没有恶意文件被植入。

修复方法翻译中…

Actualice NVIDIA NeMo Framework a la versión 24.12 o posterior. Esto corregirá la vulnerabilidad de path traversal y evitará la posible ejecución de código y manipulación de datos. Descargue la versión más reciente desde el sitio web oficial de NVIDIA o a través del gestor de paquetes correspondiente.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2025-23360 — 路径遍历漏洞在NVIDIA NeMo Framework中？

CVE-2025-23360是一个路径遍历漏洞，允许攻击者通过任意文件写入操作访问和修改NVIDIA NeMo Framework及其相关环境中的文件。

我是否受到CVE-2025-23360在NVIDIA NeMo Framework中的影响？

如果您的NVIDIA NeMo Framework版本低于24.12，则您可能受到此漏洞的影响。请立即检查您的版本并升级。

我如何修复CVE-2025-23360在NVIDIA NeMo Framework中的漏洞？

将NVIDIA NeMo Framework升级至24.12或更高版本。如果升级不可行，请考虑临时限制文件上传目录并实施严格的文件类型验证。

CVE-2025-23360是否正在被积极利用？

目前尚未观察到大规模的公开利用，但由于漏洞的严重性，预计未来可能会出现利用尝试。

在哪里可以找到官方NVIDIA NeMo Framework关于CVE-2025-23360的公告？

请访问NVIDIA的安全公告页面，搜索CVE-2025-23360以获取官方信息：[https://www.nvidia.com/en-us/security/](https://www.nvidia.com/en-us/security/)