Vulnerabilități identificate în NVIDIA Container Toolkit
Sursă: https://cybersecuritynews.com
NVIDIA a lansat actualizări de securitate critice care abordează două vulnerabilități semnificative din Container Toolkit și GPU Operator care ar putea permite atacatorilor să execute cod arbitrar cu permisiuni ridicate.
Vulnerabilitățile, identificate ca CVE-2025-23266 și CVE-2025-23267, afectează toate platformele care rulează versiunile NVIDIA Container Toolkit până la 1.17.7 și GPU Operator până la 25.3.0.
Aceste vulnerabilități de securitate prezintă riscuri severe, inclusiv escaladarea privilegiilor, falsificarea datelor, divulgarea de informații și atacuri de tip denial-of-service.
Cea mai severă vulnerabilitate, CVE-2025-23266, prezintă un scor CvSS de 9.0/10 și un grad de severitate critic.
Această vulnerabilitate există în unele hook-uri utilizate pentru a inițializa containerele, unde un atacator ar putea executa cod arbitrar cu permisiuni elevate.
A doua vulnerabilitate, CVE-2025-23267, prezintă un scor CvSS de 8.5/10 și un grad de severitate high. Aceasta afectează hook-ul update-ldcache, unde atacatorii ar putea genera atacuri de tip link following, folosing imagini de container malițioase.
NVIDIA a lansat versiuni actualizate pentru a aborda aceste vulnerabilități. NVIDIA Container Toolkit necesită actualizarea la versiunea 1.17.8 de la toate versiunile anterioare până la 1.17.7.
Pentru NVIDIA GPU Operator pe platforme Linux, utilizatorii trebuie să actualizeze la versiunea 25.3.1 de la toate versiunile de până la 25.3.0.
În special, vulnerabilitatea modului CDI afectează numai versiunile anterioare versiunii 1.17.5 pentru Container Toolkit și anterioare versiunii 25.3.0 pentru GPU Operator.
NVIDIA recomandă insistent instalarea actualizărilor de securitate, așa cum este descris în documentația oficială NVIDIA Container Toolkit și GPU Operator.
Sursă: https://cybersecuritynews.com/nvidia-container-toolkit-vulnerability-2/
