Múltiples vulnerabilidades en productos de NVIDIA
Fecha de publicación 22/07/2025
Identificador
INICBE-2025-0394
Importancia
5 - Crítica
Recursos Afectados
- NVIDIA Container Toolkit: para todas las plataformas y todas las versiones hasta la 1.17.7 inclusive (modo CDI solo para versiones anteriores a la 1.17.5).
- NVIDIA GPU Operator: para sistemas operativos de Linux y todas las versiones hasta la 25.3.0 inclusive (modo CDI solo para versiones anteriores a la 25.3.0).
Descripción
Nir Ohfeld y Shir Tamari en colaboración con Trend Zero Day Initiative han informado de 2 vulnerabilidades, una de severidad crítica y otra de severidad alta que podrían provocar una escalada de privilegios, manipulación de datos, divulgación de información y denegación de servicio.
Solución
Actualizar a:
- NVIDIA Container Toolkit: v1.17.8.
- NVIDIA GPU Operator: v25.3.1.
Detalle
- CVE-2025-23266: vulnerabilidad en algunos ganchos (hooks) utilizados para iniciar el contenedor, donde un atacante podría ejecutar código arbitrario con grandes permisos. Explotar esta vulnerabilidad podría provocar una escalada de privilegios, manipulación de datos, divulgación de información y denegación de servicio.
- CVE-2025-23267: vulnerabilidad en el gancho (hook) update-ldcache, donde un atacante podría provocar el seguimiento de un enlace mediante una imagen de contenedor especialmente diseñada. Explotar esta vulnerabilidad podría provocar la manipulación de datos y la denegación de servicio.
CVE
Listado de referencias