Vulnerabilitățile NVIDIA Merlin permit executarea de coduri și atacuri DoS

Patch-uri de securitate pentru framework-ul Merlin care remediază două vulnerabilități de tip deserialization cu grad de severitate high. Acestea ar putea permite atacatorilor să execute cod arbitrar și să lanseze atacuri de tip denial-of-service asupra sistemelor Linux afectate.

Atât CVE-2025-33214, cât și CVE-2025-33213 au scoruri CvSS de 8.8/10, indicând amenințări cu grad de severitate high ce necesită atenția imediată a administratorilor de sistem.

Vulnerabilitățile afectează componenta Workflow a NVTabular și componenta Trainer a Transformers4Rec.

Exploatarea cu succes permite atacatorilor să execute coduri malițioase, să declanșeze atacuri de tip denial-of-service, să dezvăluie informații sensibile și să manipuleze date critice.

Vectorul de atac necesită acces la rețea și interacțiune cu utilizatorul de complexitate redusă, ceea ce face ca aceste vulnerabilități să fie deosebit de semnificative.

Toate versiunile NVIDIA NVTabular și Merlin Transformers4Rec pentru Linux care nu dispun de commit-uri de securitate specifice sunt vulnerabile la aceste atacuri.

Se recomandă actualizarea imediată a versiunilor vulnerabile a acestor framework-uri. NVIDIA a lansat patch-uri de securitate prin commit-uri GitHub.

Pentru NVTabular, utilizatorii trebuie să actualizeze la commit 5dd11f4 sau o versiune ulterioară din depozitul NVIDIA-Merlin/NVTabular. Utilizatorii Transformers4Rec trebuie să aplice commit 876f19e sau o versiune ulterioară din depozitul NVIDIA-Merlin/Transformers4Rec.

Administratorii de sistem ar trebui să acorde prioritate actualizării instalărilor NVIDIA Merlin prin clonarea sau actualizarea software-ului pentru a include modificările de securitate.

Sursă: https://cybersecuritynews.com/nvidia-merlin-vulnerabilities/