FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

NVIDIA已发布全面安全更新，修复其AI和仿真生态系统中的多个高危漏洞。这些补丁涵盖NeMo框架、Resiliency扩展以及Isaac Sim机器人仿真平台，修复了可能允许攻击者在受影响系统上执行任意代码、篡改数据或提升权限的漏洞。

关键漏洞：Isaac Lab反序列化漏洞（CVSS 9.0）

安全团队最需优先处理的是（CVE-2025-32210），该漏洞存在于Isaac Sim框架的NVIDIA Isaac Lab组件中。这个CVSS基础评分为9.0（严重）的漏洞源于不安全的反序列化操作——这类漏洞通常因处理未经验证的不受信任数据而产生。公告指出："成功利用此漏洞可能导致代码执行"，这意味着攻击者可能完全控制仿真环境。NVIDIA已在Isaac Sim 2.3.0版本中修复该漏洞，所有早期版本的Isaac Lab均已获得补丁。

NeMo框架高危漏洞

NVIDIA还修复了其生成式AI模型构建工具包NeMo Framework中的两个高危漏洞，这两个漏洞影响所有运行2.5.3之前版本的平台：

• （CVE-2025-33212，CVSS 7.3）：该漏洞隐藏在模型加载过程中，若用户不当加载恶意构造的文件，攻击者可"利用控制机制"，可能导致代码执行或权限提升。
• （CVE-2025-33226，CVSS 7.8）：由恶意数据触发的代码注入漏洞，可导致"代码执行、权限提升、信息泄露和数据篡改"等多种攻击。

开发者应立即升级至NeMo Framework 2.5.3版本以消除风险。

Linux Resiliency扩展漏洞

第三份公告针对用于增强系统稳定性的NVIDIA Resiliency Extension for Linux工具，讽刺的是，该工具本身存在可能导致系统被攻陷的漏洞：

• （CVE-2025-33225，CVSS 8.4）：日志聚合功能中的漏洞允许攻击者制造"可预测的日志文件名"，这个看似微小的问题可能引发包括代码执行和服务拒绝在内的严重后果。
• （CVE-2025-33235，CVSS 7.8）：存在于"检查点核心"中的漏洞允许攻击者触发竞态条件，成功利用可导致未授权数据访问或权限提升。

这些漏洞影响0.5.0版本之前的主分支（竞态条件漏洞影响0.4.1版本），修复方案已包含在0.5.0版本中。

随着AI和仿真工具在企业环境中的快速普及，这些漏洞为试图从开发环境渗透至更广泛网络的威胁行为者提供了理想目标。管理员应立即应用这些更新。

参考来源：

NVIDIA Critical AI Patch: Isaac Lab and NeMo Framework Flaws Risk Full Code Execution

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）