NVIDIA NeMo Framework Vulnerabilities Allows Code Injection and Privilege Escalation
2025/11/14 CyberSecurityNews — NVIDIA が公開したのは、NeMo Framework に存在する2件の深刻な脆弱性 CVE-2025-23361/CVE-2025-33178 (CVSS:7.8) に対処する緊急セキュリティ・アップデートである。これらの脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で悪意のコードを実行し、権限昇格を可能にする。これらの脆弱性が影響を及ぼす範囲は、すべてのプラットフォームにおける NeMo Framework バージョン 2.5.0 以下となる。
NVIDIA NeMo フレームワークの脆弱性
1件目の脆弱性 CVE-2025-23361 はフレームワーク・スクリプトに存在し、攻撃者からの悪意の入力により、コード生成における不適切な制御が引き起こされる可能性がある。
2件目の脆弱性 CVE-2025-33178 は Bert サービス・コンポーネントに存在し、悪意のデータによるコード・インジェクションを可能にする。
これらの脆弱性は同じ攻撃ベクターを共有し、低権限でのローカル・アクセスを必要とする。いったん悪用されると、コード実行/権限昇格/情報漏洩/データ改竄などが発生し、このフレームワークを利用する組織に重大なリスクがもたらされる。
| CVE ID | Description | CVSS Score | CWE |
|---|---|---|---|
| CVE-2025-23361 | Improper control of code generation in framework script | 7.8 | CWE-94 |
| CVE-2025-33178 | Code injection in bert services component | 7.8 | CWE-94 |
この2件の脆弱性は、Tencent AISec および 清華大学 NISL 研究所のセキュリティ研究者により発見/報告されたものであり、共同セキュリティ研究の重要性を浮き彫りにしている。
NVIDIA NeMo Framework のバージョン 2.5.0 以下は、オペレーティング・システムやプラットフォームに関係なく脆弱である。したがって、旧ブランチを使用している組織もリスクにさらされるため、直ちにアップグレードする必要がある。
NVIDIA が推奨するのは、公式 NVIDIA GitHub リポジトリおよび PyPI パッケージ・マネージャから入手可能な、NeMo Framework バージョン 2.5.0 以降へのアップデートである。また、旧ブランチ・リリースを使用しているユーザーに対しては、最新のブランチ・バージョンへのアップグレードが強く推奨される。
ユーザー組織にとって必要なことは、自身の設定や運用環境を評価し、セキュリティ・アップデートを速やかに適用し、潜在的な悪用リスクを軽減することだ。
NVIDIA NeMo Framework に見つかった脆弱性は、外部から与えられた悪意の入力を適切に扱えなかったことに原因があるようです。1つはコード生成の不十分な制御であり、もう1つは Bert コンポーネントでのデータの不適切な取り扱いです。いずれも低い権限からのローカル・アクセスで悪用が可能なため、気づかないうちにコード実行や権限昇格につながる点が懸念されると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、NVIDIA で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.