NVIDIA Isaac Lab Flaw Enables Remote Code Execution
2025/12/17 gbhackers — NVIDIA が公表したのは、NVIDIA Isaac Sim フレームワークのコンポーネント Isaac Lab に存在する、深刻なセキュリティ脆弱性に関する情報である。この脆弱性を悪用する攻撃者は、リモートからの任意のコード実行の可能性を得る。この脆弱性 CVE-2025-33210 (ベンダページでは CVE-2025-32210 と誤った表記がされているので注意)は、デシリアライゼーションに起因するものであり、2025年12月にセキュリティ・パッチをリリースしたと、同社は述べている。
深刻なデシリアライゼーションの脆弱性
この脆弱性は、NVIDIA Isaac Lab における不適切なデシリアライゼーションに起因する。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上でコードを実行できる。
NVIDIA のシミュレーション・フレームワークを使用する組織に、この脆弱性は深刻なリスクをもたらす。それにより、この脆弱性 CVE-2025-33210 の CVSS スコアは 9.0 と評価され、深刻度は Critical に分類されている。
| CVE ID | Description | CVSS Score | Severity | CWE |
| CVE-2025-33210 | Deserialization vulnerability in NVIDIA Isaac Lab | 9.0 | Critical | CWE-502 |
この脆弱性を悪用する攻撃者が必要とするのは、権限の低いネットワーク・アクセスである。ユーザー・インタラクションが必要となるが、悪用の複雑さは低い。さらに、攻撃の範囲は変更されるため、悪用が脆弱なコンポーネント以外のリソースにも影響し、機密性/整合性/可用性が高レベルで損なわれる可能性がある。
この脆弱性 CVE-2025-33210 の影響を及ぼす範囲は、すべてのプラットフォームにおける、Isaac Lab のバージョン 2.3.0 未満である。
NVIDIA が強く推奨するのは、Isaac Sim バージョン 2.3.0 への速やかなアップデートであり、それにより、このデシリアライゼーション脆弱性を修正すべきだとしている。
このリモート・コード実行の脆弱性を悪用する攻撃者は、広範なシステムを制御し得るため、以前のバージョンを実行する組織はパッチ適用を優先する必要がある。この脆弱性が悪用されると、データ窃取/システム操作/悪意のペイロード展開が可能になる恐れがある。
NVIDIA の PSIRT は、2025年12月2日にセキュリティ情報を公開し、詳細な脆弱性情報と修復ガイダンスを提示した。この脆弱性を発見した、NVIDIA AI Red Team の Daniel Teixeira が、責任を持って情報を開示した。
ユーザーにとって必要なことは、すべての Isaac Lab インストールが、v2.3.0 以降に更新されていることの確認である。公式 GitHub リポジトリから、最新の Isaac Lab バージョンをダウンロードできる。
NVIDIA が推奨するのは、今後の脆弱性およびパッチに関する最新情報を取得するために、製品セキュリティ・ページからセキュリティ情報通知をサブスクライブすることである。
NVIDIA Isaac Lab の脆弱性は、プログラムがデータを読み込む際の不適切なデシリアライゼーション処理に起因します。つまり、外部から送られてきたデータが信頼できるものかどうかを正しく検証せずに復元するときに、この脆弱性の悪用が可能になります。その結果として、攻撃者が悪意を持って作成した特殊なデータを読み込み、システムが意図しない悪意の命令を正規のプログラムとして実行してしまいます。ご利用のチームは、ご注意ください。よろしければ、NVIDIA での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.