Se han detectado nuevas vulnerabilidades, con “alta” severidad, que afectan al producto NVIDIA NVTabular para Linux, una plataforma de código abierto diseñada para la preparación y transformación de alto rendimiento de datos de GPU tabulares, para soportar modelos de aprendizaje automático, y NVIDIA Merlin Transformers4Rec para sistemas de recomendación de producción Linux, un marco de código abierto diseñado para el desarrollo y capacitación de modelos de recomendación basados en Transformer, optimizados para cargas de trabajo de aprendizaje automático.
Productos y versiones afectadas
• NVIDIA NVTabular, versiones anteriores a commit 5dd11f4;
• NVIDIA Merlin Transformers4Rec, versiones anteriores al commit 876f19e;
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
• CVE-2025-33213: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad en NVIDIA Merlin Transformers4Rec para Linux que contiene una vulnerabilidad en el componente Trainer, donde un usuario podría causar un problema de deserialización. Un exploit exitoso de esta vulnerabilidad podría conducir a la ejecución de código, denegación de servicio, divulgación de información y manipulación de datos.
• CVE-2025-33214: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad en NVIDIA NVTabular para Linux que contiene una vulnerabilidad en el componente Workflow, donde un usuario podría causar un problema de deserialización. Un exploit exitoso de esta vulnerabilidad podría conducir a la ejecución de código, denegación de servicio, divulgación de información y manipulación de datos.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://nvd.nist.gov/vuln/detail/CVE-2025-33213
https://www.cve.org/CVERecord?id=CVE-2025-33214