Patch incomplet din kit-ul NVIDIA permite exploatarea CVE-2024-0132
Sursă: https://thehackernews.com/
Specialiștii în domeniul securității cibernetice au prezentat în detaliu un caz de patch incomplet pentru o vulnerabilitate de securitate abordată anterior ce afectează NVIDIA Container Toolkit și care, dacă este exploatat cu succes, ar putea pune în pericol date sensibile.
Vulnerabilitatea inițială CVE-2024-0132 (scor CvSS: 9.0/10) este o eroare de tip TOCTOU (Time-of-Check Time-of-Use) care ar putea duce la un atac de sustragere a unui container și ar permite accesul neautorizat la host-ul de bază.
În timp ce această vulnerabilitate a fost remediată de NVIDIA în septembrie 2024, în urma unei noi analize s-a demonstrat că remedierea este incompletă și că există, de asemenea, o eroare de performanță asociată ce afectează Docker pe Linux și care ar putea duce la un atac de tip denial-of-service (DoS).
Faptul că vulnerabilitatea TOCTOU persistă înseamnă că un container special creat ar putea fi folosit în mod abuziv pentru a accesa sistemul de fișiere al host-ului și a executa comenzi arbitrare cu privilegii de root.
Vulnerabilitatea afectează versiunea 1.17.4 dacă funcția allow-cuda-compat-libs-from-container este activată explicit.
Cu toate acestea, pentru ca această escaladare a privilegiilor să funcționeze, atacatorul trebuie să fi obținut deja capacitatea de a executa cod în cadrul unui container.
Vulnerabilității i-a fost atribuit identificatorul CVE-2025-23359 (scor CvSS: 9.0/10) care a fost semnalat anterior ca fiind, de asemenea, o ocolire pentru CVE-2024-0132.
Sursă: https://thehackernews.com/2025/04/incomplete-patch-in-nvidia-toolkit.html
