NVIDIA – IoT OT Security News

NVIDIA Triton の脆弱性 CVE-2025-33211／33201 が FIX：悪意のペイロードによる DoS 攻撃

NVIDIA Triton Vulnerability Let Attackers Trigger DoS Attack Using Malicious Payload

2025/12/05 CyberSecurityNews — NVIDIA が公表したのは、Triton Inference Server の脆弱性 CVE-2025-33211／CVE-2025-33201 を修正する、緊急セキュリティ・アップデートのリリースである。どちらの脆弱性も CVSS スコア 7.5 であり、緊急のパッチ適用が優先されるべき脅威であることを示している。これらの脆弱性がリモートの攻撃者に悪用されると、システム・クラッシュが生じる可能性があるという。

NVIDIA DGX Spark の 14件の脆弱性が FIX：任意のコード実行や DoS 攻撃の可能性

NVIDIA DGX Spark Flaws Allow Attackers to Run Malicious Code and Launch DoS Attacks

2025/11/27 gbhackers — NVIDIA が公開したのは、DGX Spark システムに存在する 14 件の重大な脆弱性に対処するセキュリティ更新プログラムである。それらの脆弱性を悪用する攻撃者は、任意のコード実行や機密情報の窃取を行い、システムをクラッシュさせるサービス拒否攻撃を仕掛ける可能性を得る。これらの脆弱性が影響を及ぼす範囲は、最新の OTA0 アップデート以前の、すべての NVIDIA DGX OS である。

NVIDIA Isaac-GROOT の脆弱性 CVE-2025-33183／33184 が FIX：悪意のコード実行の可能性

NVIDIA’s Isaac-GROOT Robotics Platform Vulnerability Let Attackers Inject Malicious Codes

2025/11/25 CyberSecurityNews — NVIDIA が公表したのは、Isaac-GROOT ロボティクス・プラットフォームに影響を及ぼす２件の深刻なコード・インジェクションの脆弱性に関する情報である。これらの脆弱性 CVE-2025-33183／CVE-2025-33184 (CVSS：7.8) は、いずれも Python コンポーネント内に存在する。これらの脆弱性を悪用する認証済み攻撃者は、任意のコードを実行し、権限を昇格させ、システム・データを改竄する可能性を得る。

NVIDIA NeMo Framework の脆弱性 CVE-2025-23361／33178 が FIX：コード実行と権限昇格の恐れ

NVIDIA NeMo Framework Vulnerabilities Allows Code Injection and Privilege Escalation

2025/11/14 CyberSecurityNews — NVIDIA が公開したのは、NeMo Framework に存在する２件の深刻な脆弱性 CVE-2025-23361／CVE-2025-33178 (CVSS：7.8) に対処する緊急セキュリティ・アップデートである。これらの脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で悪意のコードを実行し、権限昇格を可能にする。これらの脆弱性が影響を及ぼす範囲は、すべてのプラットフォームにおける NeMo Framework バージョン 2.5.0 以下となる。

NVIDIA NVApp for Windowsの脆弱性 CVE-2025-23358 が FIX：悪意のコード実行の可能性

NVIDIA NVApp for Windows Vulnerability Let Attackers Execute Malicious Code

2025/11/07 CyberSecurityNews — NVIDIA が公表したのは、Windows 向けアプリに存在する深刻な脆弱性 CVE-2025-23358 に関する修正の情報である。この脆弱性を悪用するローカルの攻撃者は、影響を受けるシステム上で任意のコードを実行し、権限を昇格させる可能性がある。

NVIDIA App の脆弱性 CVE-2025-23297 が FIX：深刻な権限昇格の恐れ

Multiple NVIDIA Flaws Allow Attackers to Escalate Privileges on Systems

2025/10/01 gbhackers — NVIDIA が発表したのは、NVIDIA App ソフトウェアに存在する、深刻な脆弱性に関するセキュリティ情報である。この脆弱性を悪用する攻撃者は、Windows システム上での権限昇格を可能にする。2025年9月のアップデートで修正された脆弱性 CVE-2025-23297 は、Frameview SDK コンポーネントのインストール中の不適切なファイル処理に起因する。Windows 10／11 で NVIDIA App を利用しているユーザーに対して強く推奨されるのは、バージョン 11.0.5.245 以降へ向けて速やかにアップデートし、システムを保護することだ。

NVIDIA Merlin の脆弱性 CVE-2025-23298 が FIX：ルート権限でのリモート・コード実行の可能性

NVIDIA Merlin Flaw Enables Remote Code Execution with Root Access

2025/09/25 gbhackers — NVIDIA の Merlin Transformers4Rec ライブラリに存在する、深刻な脆弱性を悪用する攻撃者は、ルート権限でリモート・コード実行を可能にすることが、Trend Micro の Zero Day Initiative (ZDI) 脅威ハンティングチームにより明らかにされた。この脆弱性 CVE-2025-23298 は、モデルのチェックポイント読み込み機能における安全ではないデシリアライズ処理に起因するものであり、Python の pickle シリアライゼーションに依存する機械学習フレームワークにおける、持続的なセキュリティ課題を浮き彫りにしている。

NVIDIA NVDebug の脆弱性 CVE-2025-23342／23343／23344 が FIX：権限昇格／任意のコード実行

NVIDIA NVDebug Tool Vulnerability Let Attackers Escalate Privileges

2025/09/11 CyberSecurityNews — NVIDIA が公開した、NVDebug ツール向けのセキュリティ・アップデートは、権限昇格／コード実行／データ改竄を許す可能性のある、３件の深刻な脆弱性に対処するものだ。このセキュリティ・アドバイザリには、それらの脆弱性についての詳細が説明されている。NVIDIA がユーザーに対して強く推奨するのは、最新バージョンの速やかな導入により、システムを保護することだ。

NVIDIA NeMo Curator の脆弱性 CVE-2025-23307：ローカル・コード実行と権限昇格の可能性

NVIDIA NeMo AI Curator Enables Code Execution and Privilege Escalation

2025/08/27 CyberSecurityNews — NVIDIA が発表したのは、NeMo Curator プラットフォームに存在する、深刻な脆弱性 CVE-2025-23307 に対処する緊急セキュリティ情報である。この脆弱性が影響を及ぼす範囲は、Windows／Linux／macOS プラットフォームのバージョン 25.07 未満であり、攻撃者による悪意のあるコード実行と権限昇格を可能にするとされる。この欠陥は、NeMo Curator のファイル処理メカニズムにおける不適切な入力検証に起因し、悪意のファイルを作成する攻撃者に対して、コード・インジェクション攻撃を許す可能性がある。

NVIDIA Triton Inference Server の複数の脆弱性が FIX：未認証による AI サーバ乗っ取りの可能性

NVIDIA Triton Bugs Let Unauthenticated Attackers Execute Code and Hijack AI Servers

2025/08/04 TheHackerNews — NVIDIA が提供する Windows／Linux 向けの Triton Inference Server (AI モデル用 OSS プラットフォーム) において、新たに発見された一連のセキュリティ脆弱性により、標的とされるサーバに乗っ取りの可能性が生じている。Wiz の研究者 Ronen Shustin と Nir Ohfeld は、2025年8月に公開したレポートの中で「これらの脆弱性が連鎖的に利用された場合には、未認証のリモート攻撃者によりサーバが完全に制御され、リモート・コード実行 (RCE) に到達する可能性がある」と述べている。

NVIDIA Container Toolkit のコンテナ・エスケープの脆弱性 CVE-2025-23266：PoC エクスプロイトが公開

PoC Exploit Released for Critical NVIDIA AI Container Toolkit Vulnerability

2025/07/21 CyberSecurityNews — NVIDIA Container Toolkit に発見された深刻なコンテナ・エスケープの脆弱性により、世界中の AI インフラのセキュリティ基盤が脅かされている。この脆弱性は NVIDIAScape と命名され、CVE-2025-23266 として追跡されている。その CVSS スコアは 9.0 と評価されており、これまで報告されたクラウドベースの AI サービスの脆弱性の中で、最も深刻な脅威の一つとされている。

NVIDIA Container Toolkit の脆弱性 CVE-2025-23266／23267 が FIX：特権昇格／DoS 攻撃の可能性

NVIDIA Container Toolkit Vulnerability Allows Privileged Code Execution by Attackers

2025/07/17 gbhackers — NVIDIA が公表したのは、Container Toolkit／GPU Operator の深刻な脆弱性 CVE-2025-23266／CVE-2025-23267に対する、セキュリティ更新プログラムのリリースである。これらの脆弱性の悪用に成功した攻撃者は、特権昇格および任意のコード実行の可能性を得る。2025年7月に発見された、これらの脆弱性は、Container Toolkit の 1.17.7 以下／GPU Operator 25.3.0 以下の、すべてのバージョンに影響を及ぼすものだ。すでに NVIDIA は修正バージョンを提供し、ユーザーに対して速やかなセキュリティ・パッチの適用と緩和策の実施を推奨している。

NVIDIA Megatron-LM の脆弱性 CVE-2025-23264／23265 がFIX：悪意のコード注入

NVIDIA Megatron LM Flaw Allows Attackers to Inject Malicious Code

2025/06/25 gbhackers — NVIDIA が公表したのは、オープンソースの Megatron-LM フレームワークに対する緊急のセキュリティ・アップデートのリリースである。この２つの脆弱性を悪用する攻撃者は、影響を受けるシステムに悪意のコードを注入し、実行できるという。この、CVE-2025-23264／CVE-2025-23265 として追跡される脆弱性は、Megatron-LM のバージョン 0.12.0 以下に影響を及ぼす。

NVIDIA TensorRT-LLM の脆弱性 CVE-2025-23245 が FIX：コード実行／情報漏洩／データ改竄の可能性

NVIDIA Fixes High-Severity Vulnerability in TensorRT-LLM

2025/05/02 SecurityOnline — NVIDIA が公表したのは、TensorRT-LLMフレームワークの脆弱性 CVE-2025-23245 (CVSS：8.8：High) に対応する、セキュリティ・アップデートのリリースである。この脆弱性の悪用に成功した攻撃者は、リモート・コード実行／データ改竄／情報漏洩などの深刻なセキュリティ・リスクに、ユーザーをさらす可能性があるとされる。TensorRT-LLM フレームワークの Python Executor コンポーネントに、この脆弱性が影響を及ぼす。

NVIDIA Riva の脆弱性 CVE-2025-23242／23243 が FIX：権限昇格や情報漏洩などの恐れ

NVIDIA Addresses Security Vulnerabilities in NVIDIA Riva with Software Update

2025/03/12 SecurityOnline — NVIDIA が公表したのは、NVIDIA Riva に存在するセキュリティ脆弱性に対処するための、ソフトウェア・アップデートのリリースである。このセキュリティ・アップデートで対処されたのは、権限昇格／データ改竄／サービス拒否／情報漏洩などにつながる可能性がある脆弱性である。

NVIDIA Hopper HGX 8-GPU の脆弱性 CVE-2024-0114／0141 が FIX：DoS や特権昇格の可能性

CVE-2024-0114: NVIDIA Addresses High-Severity HMC Vulnerability

2025/03/04 SecurityOnline — NVIDIA が公開したセキュリティ・アップデートは、Hopper HGX 8-GPU HMC に存在する脆弱性 CVE-2024-0114／CVE-2024-0141 に対処するためのものだ。これらの脆弱性の悪用に成功した攻撃者は、不正なコード実行／特権昇格／データ改ざんなどの可能性を手にする。

NVIDIA nvJPEG2000 の深刻な脆弱性 CVE-2024-0143／0144／0145 (CVSS 9.8) が FIX：RCE などの恐れ

Severe nvJPEG2000 Vulnerabilities (CVSS 9.8) in NVIDIA’s GPU Library Could Lead to Code Execution

2025/02/14 SecurityOnline — NVIDIA が発行したのは、JPEG 2000 イメージのデコードで用いられる、高性能 GPU アクセラレーション・ツール nvJPEG2000 ライブラリで発見された、３件の深刻な脆弱性に対するパッチである。これらの脆弱性 CVE-2024-0143／0144／0145 の深刻度は、すべてが CVSS：9.8 であり、悪意の JPEG 2000 ファイルを提供する攻撃者は、脆弱なシステム上で任意のコード実行の可能性を手にする。この脆弱性が影響を及ぼす範囲は、nvJPEG2000 ライブラリのバージョン 0.8.0 である。

NVIDIA Container Toolkit の脆弱性 CVE-2025-23359 が FIX：深刻なコンテナ・エスケープの実証

Researchers Find New Exploit Bypassing Patched NVIDIA Container Toolkit Vulnerability

2025/02/12 TheHackerNews — NVIDIA Container Toolkit のセキュリティ脆弱性を迂回する方法を、サイバーセキュリティ研究者たちが発見した。この、現在はパッチ適用済みの、脆弱性の悪用に成功した攻撃者は、コンテナの分離保護を突破して、基盤となるホストへの完全なアクセスを取得できるという。

DeepSeek による AI への挑戦：軽量／安価なオープン・モデルと国家安全保障の問題

How DeepSeek changed the future of AI—and what that means for national security

2025/01/30 NextGov — 中国の DeepSeek が発表した内容は、米国の著名なツールと比べて、その構築に用いられるコンピューティング・パワーがきわめて少ないという、生成 AI へのアプローチの詳細である。その数日後に、国防総省における AI の購入／使用の方法から、米国人の生活やプライバシーに対して外国勢力もたらす混乱にいたるまで、AI と国家安全保障をめぐる世界的な議論が変化している。

NVIDIA Container Toolkit／GPU Operator の脆弱性 CVE-2024-0135／0136／0137 が FIX：直ちにパッチを！

NVIDIA Releases Security Update for Container Toolkit and GPU Operator

2015/01/16 SecurityOnline — NVIDIA がリリースしたセキュリティ・アップデートは、Container Toolkit と GPU Operator に存在する３つの脆弱性 CVE-2024-0135／CVE-2024-0136／CVE-2024-0137 に対処するためのものだ。これらの脆弱性が悪用されると、悪意のコード実行／特権昇格／サービス拒否攻撃などの可能性が生じる。

NVIDIA UFM 製品群の脆弱性 CVE-2024-0130 が FIX：ただちにアップデートを！

CVE-2024-0130: NVIDIA Patches High-Severity Vulnerability in UFM Products

2024/11/26 SecurityOnline — 先日に NVIDIA がリリースしたのは、UFM Enterprise／UFM Appliance／UFM CyberAI に影響を及ぼす深刻な脆弱性に対処するファームウェア・アップデートである。この脆弱性 CVE-2024-0130 に悪用に成功した攻撃者は、権限の昇格／データの改竄／サービスの拒否／機密情報の流出などを達成する可能性を得る。

NVIDIA – Base Command Manager の脆弱性 CVE-2024-0138 (CVSS 9.8) が FIX：ただちにパッチを！

NVIDIA Base Command Manager Update Patches CVE-2024-0138 (CVSS 9.8)

2024/11/21 SecurityOnline — NVIDIA が公表したのは Base Command Manager ソフトウェアに対する、重要なセキュリティ・アップデートのリリースに関する情報である。その CMDaemon コンポーネントに存在する、脆弱性 CVE-2024-0138 (CVSS：9.8) の悪用に成功した攻撃者により、コード実行／権限昇格／データ改竄などが引き起こされる可能性がある。

NVIDIA ConnectX／BlueField DPU の脆弱性 CVE-2024-0105／0106 が FIX：直ちにアップデートを！

Nvidia Releases Security Update for ConnectX and BlueField DPUs Amid High-Severity Flaws

2024/11/03 SecurityOnline — NVIDIA が公表したのは、ConnectX／BlueField DPU (Data Processing Units) に存在する。２つの深刻な脆弱性 CVE-2024-0105／CVE-2024-0106 に対するセキュリティ・アップデートである。これらの脆弱性の悪用に成功した攻撃者に対しては、データ改ざん／サービス運用妨害／機密情報へのアクセスなどが許される可能性があるという。

Critical NVIDIA Container Toolkit の脆弱性：パブリック・クラウドの 33% に影響

Critical NVIDIA Container Toolkit flaw could allow access to the underlying host

2024/09/30 SecurityAffairs — NVIDIA Container Toolkit に存在する深刻な脆弱性 CVE-2024-0132 (CVSS スコア 9.0) により、コンテナ・エスケープを達成した攻撃者が、基盤となるホストへの完全にアクセスを得る可能性が生じている。この脆弱性は Time-of-check Time-of-Use (TOCTOU) に起因するものであり、NVIDIA Container Toolkit バージョン 1.16.1 未満に影響を及ぼすものだ。

NVIDIA Container Toolkit の深刻な脆弱性 CVE-2024-0132 が FIX：コンテナ・エスケープの恐れ

Critical NVIDIA Container Toolkit Vulnerability Could Grant Full Host Access to Attackers

2024/09/27 TheHackerNews — NVIDIA Container Toolkit に、深刻なセキュリティ上の欠陥が発見されました。この脆弱性の悪用に成功した脅威アクターは、コンテナの境界を突破し、基盤となるホストへの完全なアクセスを得る可能性が生じる。この脆弱性 CVE-2024-0132 (CVSS：9.0) は、NVIDIA Container Toolkit バージョン v1.16.2 および NVIDIA GPU Operator バージョン 24.6.2 で解決されている。

Supermicro マザーボードの脆弱性 CVE-2024-36435 が FIX：RCE の恐れ

Supermicro Motherboards Vulnerable to Critical RCE Flaw (CVE-2024-36435)

2024/07/14 SecurityOnline — Supermicro Computer が公表したのは、同社の製品群を RCE 攻撃にさらす可能性がある、深刻な脆弱性 CVE-2024-36435 に関するアドバイザリである。この脆弱性は、特定の Supermicro マザーボード BMC (Baseboard Management Controller) Web サーバー・コンポーネント内に存在するものであり、NVIDIA の攻撃的セキュリティ研究チームのAlexander Tereshkin により発見されている。

Tag: NVIDIA