NVIDIA Isaac Launchable zawiera podatność umożliwiającą wykonanie procesu z niepotrzebnymi (nadmiernymi) uprawnieniami. Skuteczne wykorzystanie luki może prowadzić do wykonania kodu, eskalacji uprawnień, odmowy usługi, ujawnienia informacji oraz manipulacji danymi.
▸ Pokaż oryginał (EN)
NVIDIA Isaac Launchable contains a vulnerability where an attacker could cause an execution with unnecessary privileges. A successful exploit of this vulnerability might lead to code execution, escalation of privileges, denial of service, information disclosure and data tampering.
Podatność sklasyfikowana jako CWE-250 (Execution with Unnecessary Privileges) polega na tym, że komponent oprogramowania uruchamia procesy lub wykonuje operacje z szerszym zakresem uprawnień niż jest to niezbędne. Atakujący zdalny, nieuwierzytelniony (wektor sieciowy, brak wymaganych interakcji i uprawnień) może wykorzystać ten mechanizm do przejęcia kontroli nad podatnym komponentem. Brak konieczności interakcji użytkownika ani posiadania wcześniejszego dostępu znacząco obniża próg wejścia dla atakującego.
Atakujący może doprowadzić do wykonania dowolnego kodu (RCE), eskalacji uprawnień w systemie, odmowy usługi (DoS), ujawnienia poufnych informacji oraz nieautoryzowanej modyfikacji danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach zawierających poprawkę dostępne są w biuletynie bezpieczeństwa NVIDIA pod adresem https://nvidia.custhelp.com/app/answers/detail/a_id/5749
NVIDIA Isaac Launchable — konkretne wersje wskazane w referencjach producenta (biuletyn NVIDIA: https://nvidia.custhelp.com/app/answers/detail/a_id/5749)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HNvidia Isaac Launchable
APPNvidia1.0
Powiązane podatności
NVIDIA Isaac Launchable — podatność hard-coded credentials (RCE, DoS)
NVIDIA Isaac Launchable — wykonanie kodu z nadmiernymi uprawnieniami
NVIDIA Isaac Launchable for Linux contains a vulnerability where sensitive information is transmitted in clear...
Authentication Bypass w NVIDIA Triton Inference Server umożliwiający RCE
NVIDIA NVFlare – authorization bypass przez klucz kontrolowany przez użytkownika