NVIDIA corrige vulnerabilidades críticas no NeMo Framework que permite execução de código e escalonamento de privilégios
Contexto de vulnerabilidade
A NVIDIA lançou uma atualização crítica para o NeMo Framework, corrigindo duas falhas graves (CVE-2025-23361 e CVE-2025-33178) com pontuação CVSS de 7.8.
As vulnerabilidades afetam todas as versões do NeMo Framework anteriores à 2.5.0, em todas as plataformas.
Detalhes técnicos
- A CVE-2025-23361 reside em um script do framework, onde uma entrada maliciosa pode permitir controle inadequado sobre a geração de código (CWE-94).
- A CVE-2025-33178 não é componente Bert services e possibilita a injeção de código via dados maliciosos.
- Ambos requerem acesso local com privilégios baixos, mas, se exploradas com sucesso, permitem execução de código, escalonamento de privilégios, acesso a informações e manipulação de dados.
Impacto e riscos
A exploração dessas falhas representa risco significativo para organizações que utilizam o NeMo Framework, podendo permitir o controle total do sistema, exposição ou alteração de dados sensíveis.
Todas as versões anteriores à 2.5.0 — incluindo ramificações antigas — permanências vulneráveis.
Mitigação
- A NVIDIA recomenda atualização imediata para o NeMo Framework 2.5.0 ou superior, disponível no repositório oficial do GitHub e no PyPI.
- Usuários de ramificações antigas devem migrar para a versão mais recente do branch.
- É essencial verificar as configurações e aplicar o patch para mitigar os riscos de exploração.
Como funciona o ataque
Um invasor com acesso local pode fornecer entradas projetadas para ativar bugs nos scripts do NeMo Framework ou no serviço Bert, resultando na execução de códigos ou maliciosos com privilégios elevados.
Esses ataques exploram falhas de validação de entrada em componentes críticos, sendo necessários apenas privilégios básicos para iniciar a exploração.
