CRITICAL🇬🇧 English

CVE-2025-33222

NVIDIA Isaac Launchable — podatność hard-coded credentials (RCE, DoS)

CVSS 9.8v3.1pub. 2025-12-23upd. 2026-01-15

NVIDIA Isaac Launchable zawiera podatność polegającą na obecności zakodowanych na stałe w kodzie źródłowym poświadczeń (hard-coded credentials). Luka jest krytyczna, ponieważ może zostać wykorzystana przez nieuwierzytelnionego atakującego zdalnie, bez żadnej interakcji użytkownika.

Pokaż oryginał (EN)

NVIDIA Isaac Launchable contains a vulnerability where an attacker could exploit a hard-coded credential issue. A successful exploit of this vulnerability might lead to code execution, escalation of privileges, denial of service, and data tampering.

🤖 Analiza AI
Jak działa

Atakujący może skorzystać z poświadczeń zakodowanych na stałe w aplikacji (CWE-798), które są identyczne dla każdej instalacji produktu i nie mogą być zmienione przez użytkownika w standardowy sposób. Ponieważ wektor ataku jest sieciowy, a złożoność atak jest niska i nie wymaga żadnych uprawnień ani interakcji ofiary, atakujący może zdalnie uwierzytelnić się do systemu przy użyciu znanych poświadczeń. Po uzyskaniu dostępu możliwe jest wykonanie dalszych działań ofensywnych.

Skutki

Skuteczne wykorzystanie podatności może prowadzić do zdalnego wykonania kodu (RCE), eskalacji uprawnień (privilege escalation), odmowy usługi (DoS) oraz manipulacji przechowywanymi danymi. Pełne naruszenie poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o poprawionej wersji dostępne w biuletynie bezpieczeństwa NVIDIA pod adresem https://nvidia.custhelp.com/app/answers/detail/a_id/5749. Dodatkowo zaleca się ograniczenie dostępu sieciowego do systemu uruchamiającego NVIDIA Isaac Launchable (firewall, segmentacja sieci) do czasu wdrożenia patcha.

Kogo dotyczy

NVIDIA Isaac Launchable — wersje wskazane w referencjach producenta (szczegółowe wersje podane w biuletynie NVIDIA: https://nvidia.custhelp.com/app/answers/detail/a_id/5749)

Uwagi

Podatność opublikowana 2025-12-23. CISA KEV: NIE — brak potwierdzonego aktywnego wykorzystania w środowiskach produkcyjnych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Nvidia Isaac Launchable

    APP
    Nvidia
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDoS
CWE
Referencje

Powiązane podatności

CVE-2025-33223CRITICAL9.8PL ✓ten sam produkt

NVIDIA Isaac Launchable — wykonanie kodu z nadmiernymi uprawnieniami

CVE-2025-33224CRITICAL9.8PL ✓ten sam produkt

NVIDIA Isaac Launchable — wykonanie kodu z nadmiernymi uprawnieniami

CVE-2026-24212HIGH7.5ten sam produkt

NVIDIA Isaac Launchable for Linux contains a vulnerability where sensitive information is transmitted in clear...

CVE-2026-24207CRITICAL9.8PL ✓ten sam vendor

Authentication Bypass w NVIDIA Triton Inference Server umożliwiający RCE

CVE-2026-24178CRITICAL9.8PL ✓ten sam vendor

NVIDIA NVFlare – authorization bypass przez klucz kontrolowany przez użytkownika