Ενημερωμένες εκδόσεις κώδικα ασφαλείας για το πλαίσιο Merlin που αντιμετωπίζουν δύο ευπάθειες αποσειριοποίησης υψηλής σοβαρότητας. Αυτό θα μπορούσε να επιτρέψει στους εισβολείς να εκτελέσουν αυθαίρετο κώδικα και να εξαπολύσουν επιθέσεις άρνησης υπηρεσίας σε επηρεαζόμενα συστήματα Linux.
Οι ερευνητές της NVIDIA εντόπισαν δύο τρωτά σημεία στα στοιχεία Merlin που αξιοποιούν την ανασφαλή αποζερικοποίηση.
Τόσο το CVE-2025-33214 όσο και το CVE-2025-33213 έχουν βαθμολογίες βάσης CVSS 8,8, υποδεικνύοντας απειλές υψηλής σοβαρότητας που απαιτούν άμεση προσοχή από τους διαχειριστές του συστήματος.
| Αναγνωριστικό CVE | Περιγραφή | Βασική βαθμολογία | CWE | Διάνυσμα |
|---|---|---|---|---|
| CVE-2025-33214 | Το NVIDIA NVTabular για Linux περιέχει μια ευπάθεια στο στοιχείο της ροής εργασίας, όπου ένας χρήστης θα μπορούσε να προκαλέσει ένα ζήτημα αποσυναρμολόγησης. | 8.8 | CWE-502 | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| CVE-2025-33213 | Το NVIDIA Merlin Transformers4Rec για Linux περιέχει μια ευπάθεια στο στοιχείο Trainer όπου ένας χρήστης μπορεί να προκαλέσει ένα ζήτημα αποσυναρμολόγησης. | 8.8 | CWE-502 | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Ανακαλύφθηκαν κρίσιμα ελαττώματα αποσειροποίησης
Τα τρωτά σημεία επηρεάζουν το στοιχείο Workflow του NVTabular και το στοιχείο Trainer του Transformers4Rec.
Η επιτυχής εκμετάλλευση επιτρέπει στους εισβολείς να εκτελούν κακόβουλο κώδικα, να ενεργοποιούν συνθήκες άρνησης υπηρεσίας, να αποκαλύπτουν ευαίσθητες πληροφορίες και να παραβιάζουν κρίσιμα δεδομένα.
Το διάνυσμα επίθεσης απαιτεί πρόσβαση στο δίκτυο χαμηλής πολυπλοκότητας και αλληλεπίδραση με τον χρήστη, καθιστώντας αυτές τις ευπάθειες ιδιαίτερα ανησυχητικές για εταιρικά περιβάλλοντα.
Όλες οι εκδόσεις του NVIDIA NVTabular και Merlin Transformers4Rec για Linux που δεν διαθέτουν συγκεκριμένες δεσμεύσεις ασφαλείας είναι ευάλωτες σε αυτές τις επιθέσεις.
Οι οργανισμοί που εκτελούν αυτά τα πλαίσια πρέπει να ενημερώσουν αμέσως τις εγκαταστάσεις τους για να προστατεύονται από πιθανές εκμεταλλεύσεις. Η NVIDIA κυκλοφόρησε ενημερώσεις κώδικα ασφαλείας μέσω των δεσμεύσεων του GitHub.
Για το NVTabular, οι χρήστες πρέπει να ενημερώσουν για να δεσμεύσουν το 5dd11f4 ή νεότερο από το αποθετήριο NVIDIA-Merlin/NVTabular. Οι χρήστες του Transformers4Rec πρέπει να εφαρμόσουν το commit 876f19e ή μεταγενέστερο από το αποθετήριο NVIDIA-Merlin/Transformers4Rec.
Η NVIDIA αναγνώρισε τον ερευνητή ασφάλειας για την υπεύθυνη αποκάλυψη και των δύο τρωτών σημείων μέσω συντονισμένης αποκάλυψης.
Η εταιρεία δημοσίευσε το αρχικό δελτίο ασφαλείας στις 9 Δεκεμβρίου 2025, παρέχοντας καθοδήγηση αποκατάστασης στους επηρεαζόμενους οργανισμούς.
Οι διαχειριστές συστήματος θα πρέπει να δώσουν προτεραιότητα στην ενημέρωση των εγκαταστάσεων NVIDIA Merlin κλωνοποιώντας ή ενημερώνοντας το λογισμικό ώστε να περιλαμβάνει τις δεσμεύσεις ασφαλείας.
Οι οργανισμοί θα πρέπει να επισκέπτονται τις σελίδες Ασφάλειας προϊόντων NVIDIA για πρόσθετες πληροφορίες ευπάθειας και να εγγραφούν σε ειδοποιήσεις του δελτίου ασφαλείας για μελλοντικές ενημερώσεις.
Related Posts
Τα κρίσιμα τρωτά σημεία του διακομιστή Twonky επιτρέπουν στους εισβολείς να παρακάμψουν τον έλεγχο ταυτότητας
Κρίσιμες ευπάθειες του SolarWinds Serv-U επιτρέπουν στους εισβολείς να εκτελούν τον κακόβουλο κώδικα από απόσταση ως διαχειριστής
Ευπάθειες πλαισίου NVIDIA NeMo Επιτρέπουν την εισαγωγή κώδικα και την κλιμάκωση προνομίων
