Se han descubierto vulnerabilidades de severidad alta en productos NVIDIA. Un actor malicioso podría permitir la ejecución de código arbitrario, la escalada de privilegios, la denegación de servicio y la divulgación de información en los sistemas afectados.
Productos afectados
- NVIDIA CUDA Toolkit: versiones anteriores a la 13.1.
- Merlin Transformers4Rec para Linux: todas las versiones que no incluyen el commit 27ddd49.
- Gráficos NSIGHT para Linux: versiones anteriores a 2025.5.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-33206: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos en NVIDIA NSIGHT Graphics para Linux. Un actor malicioso local podría permitir la ejecución de comandos, la escalada de privilegios y la denegación de servicio en los sistemas afectados.
CVE-2025–33233: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de inyección de código en NVIDIA Merlin Transformers4Rec. Un actor malicioso local con privilegios básicos podría permitir la ejecución de código arbitrario, la escalada de privilegios y la manipulación de datos en el sistema afectado.
CVE-2025-33228: con una puntuación de 7.3 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos del sistema operativo en el componente Nsight Systems de NVIDIA CUDA Toolkit. Un actor malicioso local podría permitir la ejecución de código y la manipulación de datos si el script afectado se invoca manualmente con una cadena de caracteres maliciosa.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias