NVIDIA Triton Inference Server zawiera podatność typu authentication bypass, która pozwala nieuwierzytelnionemu atakującemu z sieci na ominięcie mechanizmów uwierzytelnienia. Skuteczne wykorzystanie podatności może prowadzić do wykonania kodu, eskalacji uprawnień, naruszenia integralności danych, odmowy usługi lub ujawnienia informacji.
▸ Pokaż oryginał (EN)
NVIDIA Triton Inference Server contains a vulnerability where an attacker could cause an authentication bypass. A successful exploit of this vulnerability might lead to code execution, escalation of privileges, data tampering, denial of service, or information disclosure.
Podatność sklasyfikowana jako CWE-288 (Authentication Bypass Using an Alternate Path or Channel) wskazuje, że atakujący może uzyskać dostęp do chronionych zasobów lub funkcji serwera poprzez alternatywną ścieżkę lub kanał komunikacji, omijając standardowe mechanizmy uwierzytelnienia. Atak nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika i może być przeprowadzony zdalnie przez sieć. Wektor CVSS AV:N/AC:L/PR:N/UI:N potwierdza niską złożoność ataku i brak wymagań wstępnych.
Atakujący może wykonać dowolny kod na serwerze (RCE), uzyskać podwyższone uprawnienia, modyfikować dane modeli lub żądań inferencji, doprowadzić do niedostępności usługi (DoS) lub ujawnić poufne informacje przetwarzane przez serwer.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o poprawionych wersjach dostępne są w poradniku bezpieczeństwa NVIDIA pod adresem https://nvidia.custhelp.com/app/answers/detail/a_id/5828. Do czasu zastosowania patcha zaleca się ograniczenie dostępu sieciowego do instancji Triton Inference Server poprzez firewall lub mechanizmy sieciowej segmentacji.
NVIDIA Triton Inference Server — wersje wskazane w referencjach producenta (poradnik bezpieczeństwa NVIDIA ID 5828)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HLinux Kernel
OSLinuxwszystkie wersjeNvidia Triton Inference Server
APPNvidia< 26.03
Powiązane podatności
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
IBM Aspera Faspex 4.4.2 Patch Level 1 and earlier could allow a remote attacker to execute arbitrary code on t...
VMware Workspace ONE Access and Identity Manager contain a remote code execution vulnerability due to server-s...
VMware Workspace One Access, Access Connector, Identity Manager, and Identity Manager Connector address have a...