NVIDIA ha emitido un boletín de seguridad crítico que aborda una vulnerabilidad de alta severidad en su plataforma Curator NEMO que podría permitir a los atacantes ejecutar código malicioso y aumentar los privilegios en los sistemas afectados.
La vulnerabilidad, designada CVE-2025-23307, afecta todas las versiones del curador NVIDIA NEMO antes de la versión 25.07 en las plataformas Windows, Linux y MacOS.
La falla de seguridad proviene de la validación de entrada inadecuada en los mecanismos de procesamiento de archivos del curador de Nemo, lo que permite a los actores de amenaza a elaborar archivos maliciosos que activan los ataques de inyección de código.
Control de llave
1. CVE-2025-23307 en el curador NEMO habilita la ejecución del código local y la escalada de privilegios.
2. La validación de entrada inadecuada afecta la confidencialidad, la integridad y la disponibilidad.
3. Actualice y apriete los controles de acceso.
Con una puntuación base CVSS V3.1 de 7.8, esta vulnerabilidad se clasifica como alta gravedad y plantea riesgos significativos para las implementaciones de infraestructura de IA empresarial.
Vulnerabilidad de inyección de código
La vulnerabilidad se clasifica en CWE-94 (inyección de código), lo que indica que el curador NEMO no se desinfecta adecuadamente en las entradas suplicadas por el usuario al procesar ciertos tipos de archivos.
El vector de ataque requiere acceso local (AV: L) con baja complejidad de ataque (AC: L) y bajos privilegios (PR: L), lo que lo hace relativamente accesible para los atacantes que han obtenido acceso inicial al sistema.
La cadena vectorial CVSS AV: L/AC: L/PR: L/UI: N/S: U/C: H/I: H/A: H revela que la explotación exitosa no requiere interacción de usuario (UI: N) y puede provocar un alto impacto en la confidencialidad, la integridad y la disponibilidad.
Los atacantes pueden lograr un compromiso completo del sistema a través de la ejecución del código, la escalada de privilegios, la divulgación de información y las capacidades de manipulación de datos.
La Compañía enfatiza que los requisitos de acceso local pueden limitar la explotabilidad inmediata de la vulnerabilidad en entornos segmentados adecuadamente.
El investigador de seguridad DK reveló de manera responsable a la vulnerabilidad a NVIDIA, destacando la importancia de la investigación de seguridad colaborativa para identificar y abordar las vulnerabilidades de la plataforma de IA.
Factores de riesgo Productos afectados por Deta Curador Nemo Curator (todas las versiones <25.07) Ejecución de código de impacto; privilegio escalationExPloit PrerrequisiteseSlocal Access; baja complejidad de ataque; Bajo PRIVILEGSCVSS 3.1 puntaje7.8 (alto)
Mitigaciones
NVIDIA ha lanzado Curator versión 25.07 para abordar esta vulnerabilidad de seguridad, con actualizaciones disponibles a través del repositorio oficial de Nvidia Github.
Se aconseja a las organizaciones que utilizan versiones de sucursales anteriores que se actualicen a la última versión disponible dentro de su rama de implementación, ya que todas las versiones históricas siguen afectadas por esta vulnerabilidad.
La actualización de seguridad implementa mecanismos de validación de entrada mejorados y salvaguardas de procesamiento de archivos para evitar ataques de inyección de código malicioso.
Los administradores del sistema deben priorizar esta actualización, particularmente en entornos donde el curador NEMO procesa fuentes de datos no confiables o externas.
NVIDIA recomienda realizar pruebas exhaustivas de la versión actualizada en entornos de puesta en escena antes de la implementación de producción para garantizar la compatibilidad con los flujos de trabajo de IA existentes y las tuberías de capacitación de modelos.
Las organizaciones también deben revisar sus políticas de control de acceso para minimizar las posibles superficies de ataque, dados los requisitos de acceso local de la vulnerabilidad.
¡Encuentra esta historia interesante! Séguenos LinkedIn y incógnita Para obtener más actualizaciones instantáneas.
