CVE-2026-24148：NVIDIA Jetson信息泄露/DoS漏洞

CVE-2026-24148 影响 Jetson Xavier 系列和 Jetson Orin 系列设备，CVSS 评分达到 8.3。该漏洞存在于系统初始化逻辑中，允许未授权的攻击者触发使用不安全默认值初始化资源。成功利用可能导致加密数据的机密信息泄露、数据篡改以及在共享相同机器 ID 的设备上发生部分拒绝服务。此漏洞需要立即采取行动以保护 Jetson 系统。

Organizations deploying NVIDIA Jetson devices in environments requiring data confidentiality and integrity are at significant risk. This includes robotics applications, edge computing deployments, and any scenario where sensitive data is processed or stored on Jetson devices. Shared hosting environments utilizing Jetson devices are particularly vulnerable due to the potential for cross-tenant exploitation.

• linux / server:

journalctl -u jetpack-system-initialization | grep -i 'insecure default'

• linux / server:

ps aux | grep -i 'jetpack-system-initialization'

• linux / server:

ls -l /opt/nvidia/jetpack/system_initialization.sh

• linux / server:

cat /etc/machine-id

1. 2026-03-31Disclosure

   disclosure

1. 已保留2026-01-21
2. 发布日期2026-03-31
3. 修改日期2026-04-02
4. EPSS 更新日期2026-04-08

NVIDIA 建议升级到 JetPack 35.6.4 或更高版本以减轻此漏洞。此更新解决了有缺陷的初始化逻辑，并确保资源以安全方式初始化。尽早应用此更新至关重要，尤其是在加密数据安全至关重要的环境中。请参阅 JetPack 35.6.4 的发行说明，以获取详细的安装说明和其他注意事项。还建议主动监控 Jetson 系统是否存在潜在的利用。