La vulnerabilidad de alta resistencia de NVIDIA TENSORT-LLM permite a los atacantes permitir el código remoto

NVIDIA ha revelado y reparado vulnerabilidades de alta resistencia en el marco Tensort-LLM. Esto puede causar atacantes con acceso local para ejecutar código malicioso, manipular los datos y dañar los sistemas de IA.

La vulnerabilidad rastreada como CVE-2025-23254 afecta todas las versiones de Tensort-LLM antes de 0.18.2 en las plataformas Windows, Linux y MacOS.

Tensorrt-llm Python Ejecutor Censecure Pickle Manejo

Los investigadores de seguridad han descubierto un defecto grave en el componente del ejecutor de Python de Tensorrt-LLM, particularmente en los sistemas de comunicación de interprocesos (IPC) basados ​​en sockets.

Esta vulnerabilidad se deriva del manejo inestable del mecanismo de serialización/lodificación de Python. Esto es ampliamente conocido por sus riesgos de seguridad al procesar datos poco confiables.

A CVE se le asigna una puntuación base CVSS de 8.8, que se clasifica como alta gravedad. Esto se encuentra en la categoría COWE-502 (descendente de la categoría de datos no confiables) (descendiendo datos no confiables), una clase de vulnerabilidad conocida que puede conducir a la ejecución de código remoto.

“La plataforma opcional Nvidia Tensort-LLM contiene una vulnerabilidad ejecutiva de Python que podría hacer que los atacantes causen problemas de verificación de datos a través del acceso local al servidor TRTLLM”, advirtió Nvidia en un boletín de seguridad.

“Una explotación exitosa de esta vulnerabilidad podría conducir a la ejecución del código, la divulgación de información y la manipulación de datos”.

Nvidia elogió a Avi Lumelsky de Oligo Security por informar la vulnerabilidad de manera responsable.

Factor de riesgo Detalles Attected ProductsNvidia Tensorrt-LLM (Windows, Linux, Versiones de MacOS antes de 0.18.2) Ejecución del código de impacto, divulgación de información, acceso previo a la manipulación de datos (AV: L), baja complejidad de ataque (AC: L), bajo ataque (L) (L)

Ruta de explotación técnica

Esta vulnerabilidad incluye el módulo de encurtido de Python, entre otras cosas. Esto permite que cualquier función se ejecute durante el escape a través del método __reduce __ ().

En el caso de Tensort-LLM, un atacante con acceso local al servidor puede, cuando se rompa por una aplicación, crear datos serializados maliciosos que ejecute código arbitrario con los privilegios del proceso de ejecución.

La clase ZEROMQQueue en la implementación de IPC de Tensorrt-LLM fue particularmente vulnerable, ya que utilizó datos para serializar y desisoizar datos durante todo el proceso sin una verificación adecuada.

Parches lanzados

NVIDIA lanzó la versión 0.18.2 el 29 de abril de 2025. Implementa el cifrado de HMAC (código de autenticación de mensajes basado en hash) de forma predeterminada en los sistemas IPC basados ​​en Socket.

Esta seguridad mejorada evita la explotación de vulnerabilidad al verificar la integridad de los datos serializados antes de escapar.

La compañía aconseja encarecidamente que todos los usuarios deben actualizar de inmediato a la versión 0.18.2 o posterior, advirtiendo que “deshabilitar esta característica lo hará vulnerable a los problemas de seguridad”.

Para los usuarios que no pueden actualizar de inmediato, NVIDIA dijo que las características de cifrado podrían desactivarse manualmente, lo cual es muy decepcionante.

En la rama principal, el cliente puede establecer USE_HMAC_ENCRIPTION = FALSE en Tensort_LLM/Ejecutor/Ipc.py en Zeromqueue de la clase. En la versión 0.18, los clientes pueden establecer USE_HMAC_ENCRIPTION = FALSE en Tensorrt_llm/Ejecutor.py en la clase ZEROMQQUEUE.

Esta vulnerabilidad destaca los crecientes desafíos de seguridad en los marcos de IA, particularmente en el manejo de operaciones de modelos complejos.

Tensort-LLM se usa ampliamente para acelerar los modelos de lenguaje a gran escala de IA del generador, y ha mejorado significativamente el rendimiento en las aplicaciones de producción.

Se solicita a las organizaciones que usan Tensort-LLM que implementen parches de inmediato para proteger su infraestructura de IA de la posible explotación.

¿Eres de los equipos SOC y DFIR? -Inicie los incidentes de malware en tiempo real.